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当前 企业 的 IT 应 用 环境 是 一 种 混杂 模式 ， 就 操作 系统 而 言 ， 除 Windows 之 外 开源 操作 系统 
在 关键 应 用 领域 一 直 处 于 核心 地 位 。 特 别 是 Linux 操 作 系统 ， 已 经 成 为 了 未 来 发 展 的 趋势 。 究 
其 原因 ， 与 Linux 操 作 系统 的 理念 相关 。Linux 操 作 系统 提倡 免费 、 开 源 的 理念 ， 这 有 利于 企业 
能 够 更 好 地 控制 IT 成 本 ， 更 灵活 地 利用 操作 系统 。 在 众多 的 Linux 发 行 版 中 Red Hat Linux 是 最 
受 企业 欢迎 的 Linux 发 行 版 之 一 ， 但 是 使 用 该 发 行 版 会 涉及 购买 支持 服务 的 问题 。CentOS 操 作 
系统 作为 Red HatLinux 操 作 系 统 的 释 出 版 本 是 没有 任何 使 用 费用 的 ， 性 能 上 与 
Red Hat Enterprise Linux 差异 较 小 ， 功 能 结构 与 RedHatLinux 几乎 相同 ,使 用 与 
Red Hat Enterprise Linux 类 似 。 该 操作 系统 分 为 32 位 及 64 位 ， 因 为 近 几 年 的 处 理 器 以 64 位 为 主 ， 
连 Windows Server 2008 R2 都 抛弃 了 32 位 操作 系统 ， 当 然 就 要 选择 64 位 的 操作 系统 。 


本 书 内 容 分 为 6 个 篇 章 ， 笔 者 全 程 以 64 位 的 CentOS 6.x 进 行 介绍 ， 内 容 以 一 般 企业 MIS 所 遇 
到 的 服务 及 错误 进行 介绍 ， 希 望 大 家 使 用 CentOS 时 更 容易 上 手 。 本 书 没有 讨论 太 多 理论 ， 而 
是 直接 介绍 如 何在 最 短 的 时 间 内 构建 所 要 的 服务 ， 所 以 若是 要 深入 了 解 的 话 ， 可 以 参考 其 他 书 
籍 。 本 书 所 有 步骤 都 经 笔者 测试 ， 由 于 内 容 很 多 ， 若 有 缺漏 请 读者 批评 指正 。 
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CentOS 系 统 安装 介绍 


CentOS 官 方 网 站 : http://www.centos.org/ 。 


CentOS (Community ENTerprise Operating System) 是 Linux 发 行 版 之 一 它 是 来 自 于 Red Hat 
Enterprise Linux 依 照 开放 源 代码 规定 释 出 的 源 代码 所 编译 而 成 。 由 于 出 自 同样 的 源 代码 ， 因 此 
有 些 要 求 高 度 稳定 性 的 服务 器 以 CentOS 替 代 商 业 版 的 Red Hat Enterprise Linux 使 用 。 两 者 的 不 
同 ， 在 于 CentOS 并 不 包含 非 开源 源 代码 软件 。 


1.1 CentOS 操 作 系 统 下 载 


官方 提供 了 所 有 CentOS 操 作 系 统 版 本 下 载 ， 可 根据 需求 下 载 所 需 的 操作 系统 版 本 ， 本 书 
介绍 的 是 CentOS 6.0 x86_64 版 本 。 


CentOS 5 


官方 CentOS 版 本 下 载 


http://isoredirect.centos.org/centos/6/isos/i386/ 


http://isoredirect.centos.org/centos/6/isos/x86_64/ 


http://isoredirect.centos.org/centos/5/isos/i386/ 
http://isoredirect.centos.org/centos/5/isos/x86 64/ 


http://isoredirect.centos.org/centos/4/isos/1386/ 


CentOS 4 


http://isoredirect.centos.org/centos/4/isos/x86_64/ 


CentOS 3 


| http://isoredirect.centos.org/centos/3/isos/1386/ 


http://isoredirect.centos.org/centos/3/isos/x86_64/ 


下 面 列 举 几 个 中 国 台湾 地 区 学 校 较为 知名 的 文件 服务 器 ， 这 些 服 务 器 更 新 速度 比较 快 ， 下 
载 路 径 在 CentOS 目 录 内 ， 有 x86_64 和 i386 版 本 可 供 下 载 。 
学 校 名 称 | 下 载 路 径 
义 守 大 学 | http://ftp.isu.edu.tw/pub/Linux/CentOS 
中 山大 学 | http://ftp.nsysu.edu.tw/CentOS/ 
中 兴 大 学 | http://fip.nchu.edu.tw/Linux/CentOS/ 
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RR) 
学 校 名 称 下 载 路 径 
淡 江 大 学 http://ftp.tku.edu.tw/index php?dir=Linux%2FCentOS%2F 
亚洲 大 学 http://ftp.asia.edu.tw/ftp/index.php?dir=%2FOS%2FLinux/CentOS 
昆山 科技 大 学 “| http://ftp.ksu.edu.tw/FTP/CentOS/ 


1.2 CentOS 操 作 系统 光盘 安装 方法 


CentOS 安 装 方法 越 来 越 简 单 ， 比 起 以 往 的 Red Hat 已 经 很 好 安装 了 ， 安 装 方法 的 简单 性 可 
比 Windows 操 作 系统 。 以 下 安装 语言 为 简体 中 文 ， 是 为 了 方便 了 解 配置 ， 不 过 建议 选择 英文 语 


言 安装 ， 以 便 在 后 面 的 操作 中 避免 一 些 不 必要 的 错误 ， 若 要 安装 简体 中 文 当然 也 没关系 。 
EIn 操作 系统 安装 选项 。 在 CentOS 6.x 安 装 欢迎 界面 中 选择 【 Install or upgrade an 


(e 


ai 


existing system 】 进 行 安装 ， 如 果 没 有 选择 ， 系 统 60 秒 后 也 会 自动 以 此 模式 进 
行 安装 。 


Memory test 


Press [Tab] to edit options 


Automatic boot in 59 seconds. . 


CentOS 6 oe 


安装 前 检查 光盘 。 检查 光盘 的 作用 就 是 避免 安装 来 源 文件 有 问题 , 导致 安装 失 
败 ， 以 往 是 CD-R 时 ， 会 有 多 张 光盘 ， 在 安装 过 程 中 若 其 中 一 张 光盘 损坏 ， 那 
就 是 浪费 时 间 , 而 现在 使 用 DVD 光盘 或 在 虚拟 机 下 使 用 ISO 文件 安装 ， 这 个 检 
查 就 比较 多 余 ， 所 以 确定 安装 来 源 没 问 题 ， 可 以 选择 【 Skip 】 略 过 检查 。 


Disc Found 


To begin testing the media before 
installation press 0i 


Choose Skip to skip the media test 
and start the installation. 


在 CentOS 安 装 欢迎 画面 中 ， 按 【Next】 
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stie 


CX 选择 操作 系统 语言 。 选 择 [ Chinese( Simplified ) ( 中 文 ( 简体 ) )】 后 , 按 [ Next ]; 


VI stie veda you me toe aing ne 
instañiation process? 


Hoek | | piet 


ES 。 选择 系统 的 键盘 。 选 择 【 美国 英语 式 ] LT) 


CD anon eaa arma. 


meds am | 


CEs 。 选择 安装 的 磁盘 类 型 。 一 般 选 择 【 基本 储存 设备 ] 除非 有 其 他 的 储存 设备 ， 
如 SAN 等 企业 级 储存 设备 ， 选 择 完毕 后 ， 按 【 下 一 步 ] 
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TÜRRRERTRSGRI 


PEL 
© ERAERINCHGSERUES. ORCTATNTENSST THNIJESETEA. 


HENDRER 
C PRERERUNENSSIS. HAIRAN (SAN) , 2 RUDELCTAI FCoE / SCS | FCP BOSE PN ERES. 
BEBE. 


ema) 


OD 系统 要 写 入 信息 时 会 产生 警告 信息 ， 此 警告 信息 是 说 若 要 进行 全 新 的 硬盘 安 
装 ， 必 须要 重新 初始 化 ， 按 【 重新 初始 化 所 有 b 


[^7 地 理 红 动 器 时 出 氏 © 


pci-0000:00:10.0-scsi-0:0:0:0 
20480MI 


VMware, VMware Virtual S 

可 能 需要 重新 初始 化 该 设 首 。 

重新 初始 化 将 丢失 所 有 数据 | 

这 个 动作 也 适用 于 其 它 网 要 重新 初始 化 的 磁 条 。 


Device details: 
pci-0000:00:10.0-scsi-0:0:0:0 
a (1) | aema (a) muet Gp — | msan | 
Ges 配置 主机 名 称 。 默认 名 称 为 localhost.localdomain, 若 目前 没有 想 要 配置 的 名 称 
及 域名 ， 可 以 安装 完 后 再 进行 配置 ， 按 【 下 一 步 上 


DE unseimnes. stnssemevr cxesmn. 


zm: ET 


LIC ap t-s IND 
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CentOS 系统 安 3 
> 说 明 


时 介绍 


FCentOS 6.x 安 装 好 后 ， 默 认 不 会 自动 进行 网 络 连 接 ， 所 以 在 安装 过 程 
连接 ， 否 则 只 能 安装 完 后 ] 


了 开启 。 按 [ 配置 网 络 ]， 在 网 络 连接 窗 
System eth0， 按 【 4342 h 


P JAA 
中 选择 网 络 适 配器 : 


© me Le TIRE O VPN OSL 
an acem | mwa 
ma. 


RINO 


在 编辑 窗口 中 勾 选 【 自动 连接 ] mè [VA] > [XA ], 
会 自动 启动 网 络 适配器 。 


当 操作 系统 安装 完毕 后 ， 就 
stem oho | 

连接 名 称 (!) | System etho 

口 自动 连接 () 


有 线 B02x 安全 性 IPv4 设置 IPv6 oS 


设备 MAC 地 址 (D) : [00:0C:29:3E:A6:£0 
BEBE MAC 地 址 (C) : 


«Lp» 


配置 时 区 。 系 统 会 以 你 选择 的 语言 判断 你 的 时 区 ， 
WT 


目前 选择 为 简体 中 文 ， 所 以 
BAL 亚洲 /上 海 ], 若是 选择 英语 语系 则 为 美国 , 要 勾 选 [ 系统 时 钟 使 用 UTC 
时 间 )， 时 区 配置 完成 后 , 按 【下 一 步 


ae ese OAT: 


S. NARNIE UTC HIS) 


ama) | [oro 
- E 


UTC 为 世界 标准 时 间 ， H 


时 区 为 UTC+8。 
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EIo = 设置 系统 管理 员 root 账 号 的 密码 。 所 要 设置 的 密码 需 输入 两 次 ， 设 置 完 成 后 ， 
按 【 下 一 步 上 


i BIEBERAERAA. RESTER. 


BH (P) J 
BA : 


ema | | prow 


GL) 着 输入 的 密码 不 符合 密码 复杂 度 ， 系 统 则 会 警告 密码 不 够 安全 ， 按 【 取消 】 会 
到 上 一 步 重新 输入 密码 ， 或 按 【无 论 如 何 都 使 用 】 继 续 使 用 目前 所 设置 的 密码 。 


[E] 


© 您 的 密码 不 够 安全 : 它 没有 包含 足够 的 DIFFERENT 字符 


取消 (C) | 无 6 如 何 都 使 用 (U) | 


GI? 选择 要 以 哪 种 类 型 安装 。 现 在 为 全 新 安装 的 硬盘 ， 没 有 安装 其 他 的 操作 系统 ， 
所 以 选择 【 替换 现 有 Linux 系 统 b 若 有 其 他 分 区 需求 ， 则 可 以 选择 【 创建 自 定 
Mh), 甚至 可 以 勾 选 【 查看 并 修改 分 区 布局 ) 来 查看 目前 选择 类 型 的 分 区 
方法 ， 按 【下 一 步 ] 


区 要 进行 另类 型 的 安装 ? 


使 用 所 有 空间 
RAPER PONE. ROSSHENORTHISOX. 
Ak: ATOMS EKER. ARETE 


TRA Linux 系统 
©) FIRES Unux AE (ZI nux. SONNET) . ECR SRME OMS PIME (比如 VPAT qs 
FAT32) © 


提示 STORIE REINER, ATOUCTGA. 


So UR RR 
ERAEN ER ERREA, 


GRTOTARERHGENEAKTIETNEAEEM. HRTESRSTRUS. 


创建 自 定义 布局 
SAHRA EDEMA NAAT LAR. 


DO mass (E) 
O 查看 并 修改 分 区 布局 (V) 


| ganw | [F () 


A 使 用 所 有 空间 (Use All Space): 此 方法 会 删除 所 选择 硬盘 上 的 所 有 分 区 ( 包括 其 他 操 
作 系 统 创建 的 分 区 )， 然 后 再 重新 对 硬盘 分 区 。 如 果 硬 盘 上 有 想 保留 的 操作 系统 或 数 
据 ， 请 不 要 选择 此 项 。 


a 


a 


mis 
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替换 现 有 Linux 系 统 (Replace Existing Linux System ): 此 方法 只 删除 硬盘 上 所 有 
GNU/Linux 分 区 ， 然 后 再 重新 对 硬盘 分 区 。 此 方法 不 会 删除 其 他 操作 系统 的 分 区 ， 包 
括 Windows 系统 的 NTFS 和 FAT32 等 。 如 果 硬 盘 上 有 想 保留 的 GNU/Linux 系统 或 里 
面 有 重要 数据 ， 请 不 要 选择 此 项 。 

缩小 现 有 系统 (Shrink Current System); 如 果 整 个 硬盘 已 有 一 个 分 区 ( 多数 为 Windows 
的 NTFS 分 区 或 FAT 分 区 )， 就 会 看 到 这 个 方法 。 此 方法 会 在 不 损害 原 有 分 区 数据 CR 
影响 Windows 系 统 ) 的 情况 下 缩小 分 区 ， 并 在 腾 出 的 空间 上 安装 CentOS. 

使 用 剩余 空间 (Use Free Space): 此 方法 不 会 删除 任何 分 区 ， 只 使 用 尚未 分 给 任何 分 
区 的 空间 进行 自动 分 区 。 当 然 如 果 硬 盘 早已 被 另 一 个 操作 系统 占用 了 ， 此 项 根本 用 不 
Js 
创建 自 定 义 布局 (Create Custom Layout x. 此 方法 不 会 自动 分 区 ， 而 是 执行 一 个 叫 Disk 
Druid 的 程序 ， 以 手动 创建 硬盘 分 区 。 


CIO 系统 会 将 磁盘 分 区 配置 写 入 磁盘 ， 写 入 前 会 有 确认 提示 ， 确 认 无 误 后 , 按 【 将 


修改 写 入 磁盘 


LLL ld LES T3 


现在 会 将 您 选择 的 分 区 选项 写 入 磁盘 。 所 有 在 被 删除 或 者 
被 重新 格式 化 的 分 区 中 的 数据 都 会 丢失 。 


20 (b) SHERSAMA (W) | 


CRT 选择 安装 服务 类 型 ，CentOS 6.x 列 出 了 几 种 安装 模式 。 一 般 来 说 CentOS 都 是 应 


€ «€ € € ec cu 


[4 


在 Server 上 ， 很 少 使 用 Desktop，Server 默 认 不 会 安装 图 形 界面 ， 只 有 Desktop 
才 有 。 除 了 VNC Server, 后 面 介绍 的 均 为 服务 器 配置 应 用 , 所 以 建议 选择 [ Basic 
Server 】 服 务 器 基本 安装 , 这 样 以 后 安装 服务 时 , 就 可 以 了 解 服务 所 需 的 软件 ， 
可 以 了 解 系统 的 应 用 。 选 择 完毕 后 ， 如 果 要 安装 其 他 软件 ,可 以 选择 【 现在 
EX] 否则 直接 保留 默认 的 【 以 后 自 定义 】， 接 下 来 按 【 下 一 步 ] 安装 CentOS 
6.x 操 作 系统 。 


3% (Desktop) : 使 用 GNOME 的 桌面 环境 。 

最 小 的 桌面 (Minimal Desktop) : 只 提供 运行 图 形 桌 面 必 要 的 最 基本 软件 。 

最 小 的 ( Minimal) : 只 提供 运行 GNU/Linux 必要 的 最 基本 软件 。 

基本 服务 器 (Basic Server) : 基本 服务 器 软件 。 

数据 库 服 务 器 (Database Server ) : 使 用 MySQL 和 PostgreSQL 服务 器 软件 。 
网 站 服务 器 (Web Server ) : 使 用 Apache 网 站 服务 器 。 

企业 身份 识别 服务 器 ( Enterprise Identity Server Base ) : 提供 OpenLDAP 和 the System 
Security Services Daemon ( SSSD ) 等 ， 主 要 是 建立 身份 识别 和 确认 身份 的 服务 器 。 
虚拟 化 系统 (Virtual Host) : 有 关 支 持 虚 拟 化 的 软件 ， 包 括 KVM, Virtual Machine 
Manager 、VM 版 面 程序 。 

软件 开发 工作 站 ( Software Development Workstation ) : 提供 软件 开发 。 


n 
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centos &L CREER. FEM eA FALA. 


Desktop 
Minimal Desktop 
na 

[o ee Serv 
Database Server 
Web Server 
Virtual Host 
Software Nevelonment Vindcctation. 


WER LONG RAR. 
D centos 

Ed FAAS (M) 
a8 
* WEAVE (D REATI. (C) 


exon | $r- 


CIIS centOs 6.x 操 作 系统 开始 安装 ， 安 装 时 间 大 概 半 个 小 时 。 


CentOS 6 


un EXAPISS 107309 


RW tzdata-java-20100-1.el6.noarch (273 KB) 
Timezone data for java 


CIS  cenos 6.x 操 作 系统 安装 完成 ， 按 【 


REL, TN centos REERR. 


Ed RESLERERSER. HIB TISEFIINETRRAIRTE, BUG 
BEEREXERK, 


desc 


«Io 于 选择 了 Basic Server( 基本 服务 器 ) 2236, 所 以 没有 任何 图 形 界面 , 输入 root 


账号 和 密码 后 ， 即 可 以 进入 操作 系统 。 


CentOS Linux rel 5.8 (Final) 
Kernel 2.6.32-71.e16.x686_64 on an x86 64 


localhost login 
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1.3 CentOS 操 作 系统 网 络 安装 方法 


安装 CentOS 6x 操 作 系统 除了 使 用 光盘 方法 安装 外 ， 还 可 以 使 用 网 络 方法 安装 ， 不 过 安装 
的 服务 器 类 型 不 同 ， 操 作 系统 的 容量 也 不 太一 样 。 若 安装 的 服务 器 类 型 容量 很 大 ， 就 不 建议 使 
用 网 络 方法 安装 ， 以 免 浪费 太 多 带宽 。 前 面 的 章节 已 经 介绍 过 怎样 安装 CentOS 6.x 操 作 系统 ， 
所 以 后 面 对 此 不 再 袭 述 ， 只 告诉 大 家 如 何 使 用 CentOS 6.x 网 络 安装 版 安装 ， 只 需要 指定 网 络 安 
装 文件 的 来 源 ， 接 下 来 的 安装 步 又 和 光盘 安装 方法 相同 。 


下 载 CentOS 网 络 安 装 文件 


安装 CentOS 6.x 前 ， 曾 介绍 过 从 哪里 获得 CentOS 6.x 网 络 安装 版 光盘 ， 与 CentOS 光 盘 安 装 
版 一 样 ， 从 最 常 使 用 的 CentOS 官 方 文件 服务 器 下 载 ， 速 度 快 又 稳定 ， 也 可 以 选择 适合 自己 的 
文件 服务 器 或 官方 网 站 下 载 。 

目前 最 新 版 为 6.0 版 本 ， 以 下 列 出 了 x86_64 和 i386 版 本 ， 不 过 建议 使 用 x86_64， 后 面 的 介 
绍 都 会 以 64 位 的 操作 系统 进行 配置 。 


http://vault.centos.org/6.0/isos/x86_64/CentOS-6.0-x86_64-netinstall.iso 


http://vault.centos.org/6.0/isos/i386/CentOS-6.0-i386-netinstall.iso 


Index of /6.0/isos/x86_64 Windows Internet Explorer 
GOr ee rae. aa 四 [ 
ABRA Ø Index of /8.0/isos/. h-8 


So CentOS 


Name Last modified Size Description 


M Parent Directory - 
[S] CentOS-6.0-x86 64-LiveCDiso 14-Jul-2011 10:17 689M 
CentOS-6.0-x86 64-LiveDVDiso 14-Jul-2011 09:44 1.66 
[2] CentOS-6.0-x86 64-bin-DVD1iiso 09-Jul-2011 15:57 3.9G 
[P] CemtOS-6.0-x86 64-bin-DVD2iso 09-Jul-2011 15:57 L1G 
CentOS-6.0-x86 64-minimaliso 28-Jul-2011 10:12 296M 
[P] CemtOS-6.0-x86 64-netinstalliso 09-Jul-2011 15:46 211M 


下 载 好 CentOS 6.x 网 络 安装 版 后 ， 将 镜像 文件 刻录 成 光盘 ， 或 者 使 用 虚拟 化 软件 挂 载 镜像 
文件 安装 。 启 动 电源 ， 配 置 BIOS 以 光盘 开机 引导 CentOS 6.x 操 作 系 统 进行 网 络 安装 。 
CEI) Centos 6x 操 作 系统 安装 选项 与 一 般 光 盘 安装 选项 相同 ， 选 择 【 Install or 
upgrade an existing system 】， 然 后 按 【 Enter ]， 若 不 选择 ， 系 统 60 秒 后 也 会 
动 以 此 模式 进入 安装 。 
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€ 


a 


eu 


Press [Tab] to 


Automatic boot i 


CentOS 6 


Community ENTerprise Operating System 


安装 前 检查 光盘 。 检查 光盘 的 作用 就 是 避免 安装 来 源 文件 有 问题 , 导致 安装 失 
K, 不 过 网 络 安装 来 源 只 有 一 张 光盘 ， 所 以 失败 的 机 率 就 比较 小 ,可 直接 选择 
[ Skip 】 略 过 光盘 检查 。 


To begin testing the media before 
installation press OK 


Choose Skip to skip the media test 
and start the installation. 


选择 安装 方法 。 由 于 是 CentOS 6.x 网 络 安装 版 ， 所 以 会 问 要 以 哪 种 方法 安装 ， 
请 选择 【 URL 】 网 络 方法 安装 ， 选 择 完毕 后 ， 按 【OK ]。 


What tupe of media contains 
the installation image? 


Local CD/DVD 
Hard drive 
NFS directory 


进行 网 络 安装 前 一 定 需要 网 络 才 可 以 安装 , 所 以 必须 要 配置 网 络 , 否则 无 法 继 
续 安装 。 网 络 配 置 支持 IPv4 和 IPv6 两 种 协议 ， 大 多 环境 使 用 IPv4 协 议 ， 这 里 示 
范 IPv4 协 议 的 固定 也 地 址 配置 , 若 环 境 是 DHCP 服 务 器 , 则 可 以 选择 【 Dynamic 
IP configuration (DHCP )】)， 若 是 固定 JP 地址 ， 则 选择 【 Manual configuration Jo 
没有 使 用 IPv6 协 议 的 话 ， 记 得 要 取消 选择 ， 以 免 安装 失败 ， 选 择 完毕 后 ， 按 
【OK hL 


fm 


Eo 


EA 
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= 


ee neighbor discovery 


€ ) Dynamic IP configuration (DHCPv6) 
€ ) Manual conf iguratio 


司 
网 络 配置 方法 很 简单 


和 ， 就 是 配置 IP 地 址 、 子 网 掩 码 ( subnet )、 网 关 ( Gateway ) 
和 域名 服务 器 (DNS, Name Server), MEZARA, tk [OK]. 


Enter the IPu4 and/or the IPu6 address and prefix (address / 
prefix). Pv4, the dotted-qued netmask or the CIDR-style 


prefix are acceptable. The gateway and name server fields mist 
He valid Irvi nr Tous eddresens, 


IPv4 address: PERU 
Gateway: H92.168 8.1 
Name Server: 1 


系统 会 配置 并 检查 eth0 网 络 是 否 正常 。 


| Waiting for MetuorkMamager to configure ethü. 


eth0 为 系统 的 第 一 个 网 络 适 配器 。 


CE» 


此 处 采 
据 需求 选择 。 


目 CentOS 文 件 服务 器 来 当 作 安装 文件 来 源 ， 有 CentOS 的 x86 64 和 i386 版 本 
目前 版 本 为 6.0 版 ， 如 果 有 新 版 本 ， 基 本 上 改 掉 版 本 号 应 该 可 以 ， 或 者 可 以 到 该 


配置 安装 文件 来 源 。 输 入 安装 来 源 路 径 , 这 里 安装 CentOS 6.0 x86_64 的 路 径 为 : 
http://vault.centos.org/6.0/os/x86 64/images/ installimgo 若 需 要 代理 服务 器 才 需 
要 进一步 配置 ， 若 无 ， 则 配置 完 后 ， 按 【OK 


{ URE Setup H 


Flease enter the URL containing the centos 
on your serve! 


installation image 


Proxy URL 
Username 


Passuord 


， 可 根 


文件 服务 器 上 查询 最 新 路 径 。 
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1386 http://vault.centos.org/6.0/ os/i386/images/install.img 
GH Ceos 6.0 安 装 程序 会 检测 所 配置 的 安装 来 源 ， 若 安装 来 源 路 径 错 误 则 会 回 到 
上 一 步 ， 若 安装 来 源 路 径 正确 ， 则 会 进入 CentOS 6.x 操 作 系统 的 安装 。 


Retrieving 


Retrieving install. img... 


CIO CentOS 6.x 操 作 系统 安装 主 界面 。 这 样 就 代表 安装 来 源 路 径 正确 ， 可 以 开始 进 
行 安 装 。 后 续 的 操作 与 光盘 安装 方法 相同 , 只 要 注意 安装 过 程 中 ,网 络 不 可 以 
中 断 ， 以 免 安 装 失败 ， 安 装 速度 则 会 因 环境 不 同 而 不 同 。 


CentOS & 


Community €NTerprisa Operating System 


sh Next 


1.4 安装 后 的 必要 配置 


CentOS 6.x 操 作 系统 安装 完成 ， 重 新 启动 后 ， 有 很 多 配置 需要 修改 ， 不 过 最 重要 的 就 是 关 
闭 SELinux。SELinux 是 增强 安全 性 的 一 项 功能 ，CentOS 6.x 操 作 系统 默认 启动 。 为 什么 要 关闭 
呢 ? 不 是 SELinux 功 能 不 好 ， 而 是 当 功 能 安全 性 较 高 时 ， 会 带 来 很 多 不 便 ， 为 了 初学 者 或 管理 
者 使 用 方便 ， 大 多 都 会 将 此 配置 关闭 ， 所 以 在 CentOS 6.x 操 作 系统 安装 完成 后 ， 最 好 马上 就 关 
闭 SELinux,， 以 免 事 后 安装 或 配置 其 他 服务 时 ， 发 生 不 必要 的 错误 与 困扰 。 关闭 的 方法 很 简单 ， 
编辑 SELinux 配 置 文件 ， 将 配置 设 为 disabled。 完 成 后 必须 要 重新 启动 ， 配 置 才 会 生效 。 输 入 


[shutdown -r now]. 


[root@localhost ~]# vi /etc/sysconfig/selinux //4a SELinux 配置 文件 
# This file controls the state of SELinux on the system. 

# SELINUX- can take one of these three values: 

# enforcing - SELinux security policy is enforced. 

# permissive - SELinux prints warnings instead of enforcing. 
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m 
# disabled - No SELinux policy is loaded. 

SELINUX=disabled //disabled 为 关闭 SELinux 
# SELINUXTYPE= can take one of these two values: 

# targeted - Targeted processes are protected, 

# mls - Multi Level Security protection. 


SELINUXTYPE=targeted 
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网 络 应 用 配置 


2.1 配置 网 络 IP 地 址 


CentOS 操 作 系 统 的 网 络 配置 方法 分 为 文本 模式 和 图 形 模 式 ， 不 管用 哪 种 方法 ， 从 CentOS 
6.x 版 本 之 后 ， 都 要 使 用 文本 模式 将 网 卡 配 置 参数 ONBOOT 设 为 yes， 如 果 使 用 默认 的 no， 即 使 
网 络 配置 完成 ， 也 无 法 成 功 连 接 网 络 。 


使 用 文本 模式 配置 网 络 


先 到 网 卡 配 置 文件 目录 位 置 ， 可 以 看 到 目前 网 卡 的 配置 文件 ， 第 一 块 网 卡 的 配置 文件 名 称 
为 ifcfg-eth0， 第 二 块 网 卡 为 ifcfg-ethl1， 后 面 依 此 类 推 。 
[root@localhost ~]# cd /etc/sysconfig/network-scripts 
// 网 卡 配置 文件 目录 
[root@localhost network-scripts]# 1s 


// 查 看 配置 文件 ， 默 认 第 一 块 网 卡 名 称 为 ifcfg-eth0 
ifcfg-eth0 ifdown-isdn ifup-aliases ifup-plusb init.ipv6-global 


ifcfg-lo ifdown-post ifup-bnep ifup-post net.hotplug 

ifdown ifdown-ppp ifup-eth ifup-ppp network-functions 
ifdown-bnep ifdown-routes ifup-ippp ifup-routes network-functions-ipv6 
ifdown-eth ifdown-sit ifup-ipv6 ifup-sit 

ifdown-ippp ifdown-tunnel ifup-isdn ifup-tunnel 

ifdown-ipvé ifup ifup-plip ifup-wireless 


编辑 第 一 块 网 卡 配置 文件 ，CentOS 6x 网 卡 配置 文件 与 之 前 版 本 的 配置 文件 略微 不 同 ， 以 
下 分 别 是 DHCP 自 动 获 取 下 配置 方法 及 固定 下 地 址 配置 方法 。 注 意 : CentOS 6.x 网 卡 配置 文件 
内 ONBOOT 参 数 默 认为 no， 必 须要 自行 修改 为 Yes， 和 否则 通过 命令 工具 配置 下 地 址 后 ， 也 不 能 
使 用 。 


第 2 章 


网 络 应 用 配置 
DHCP 自动 获取 IP 配置 方法 
[root@localhost network-scripts]# vi ifcfg-eth0 
// 编 辑 网 卡 配置 文件 
DEVICE=eth0 // 网 卡 设备 名 称 为 eth0， 依 此 类 推 
HWADDR-00:50:56:81:00:15 // 网 卡 设备 MAC 地 址 ， 每 个 MAC 地 址 独一无二 
ONBOOT-yes //Centos 6 默认 为 no (不 启用 ) ， 以 前 版 本 默认 为 Yes (启用 ) ， 
所 以 必须 配置 为 yes AM) 
BOOTPROTO-dhcp //Centos 6 的 第 一 块 网 卡 配置 文件 中 无 此 行 ， 必 须 手工 添加 ， 
第 二 块 网 卡 配 置 文件 则 有 ， 以 前 版 本 为 DHCP 模式 
固定 IP 地 址 配置 方法 


[root@localhost network-scripts]# vi ifcfg-eth0 
// 编 辑 第 一 块 网 卡 配置 文件 
DEVICE=eth0 // 网 卡 设备 名 称 为 eth0， 依 此 类 推 
HWADDR=00:50:56:81:00:15 // 网 卡 设备 MAC 地 址 ， 每 个 MAC 地 址 独一无二 
NM CONTROLLED-yes 
ONBOOT-yes //Centos 6 默认 为 no (不 启用 ) ， 以 前 版 本 默认 为 yes CAM) ， 
所 以 必须 配置 为 yes (启用 ) 
IPADDR=192.168.233.229 // 网 络 IP 地 址 
BOOTPROTO=none //Centos 6 的 第 一 块 网 卡 配置 文件 中 无 此 行 ， 必 须 手 工 添加 ， 
第 二 块 网 卡 配 置 文件 则 有 ， 以 前 版 本 为 DHCP 模式 
NETMASK-255.255.255.0 // 子 网 掩 码 


TYPE-Ethernet // 网 络 类 型 

GATEWAY-192.168.233.254 // 网 关 

DNS1=168.95.1.1 // 名 称 解析 服务 器 ， 此 配置 也 可 以 在 resolv .conf 中 编辑 
IPV6INIT=no // 不 使 用 IPV6INIT 


固定 他 地 址 配置 方法 除了 配置 网 络 外 ， 还 要 配置 DNS 服 务 器 。 在 etc 目 录 下 , 修改 resolv.conf 
配置 文件 ， 编 辑 所 要 配置 的 DNS 服 务 器 ， 如 果 在 网 卡 配 置 文件 中 就 有 配置 DNS 服 务 器 信息 的 
话 ，resolv.conf 中 就 会 有 DNS 配 置信 息 。 


[root@localhost ~]# vi /etc/resolv.conf // 编 辑 DNS 配置 文件 
nameserver 168.95.1.1 // 第 一 台 DNS 服务 器 ， 依 此 类 推 


编辑 完 网 卡 配 置 文件 及 DNS 配 置 文 件 后 ， 必 须 重 新 启动 网 络 服务 才 会 生效 。 


[root@localhost network-scripts]# service network restart 


Shutting down interface eth0: [ oK ] 
Shutting down loopback interface: | 
Bringing UP loopback interface: I OK ] 
Bringing up interface eth0: OK T 


使 用 图 形 方法 配置 网 络 


Choose a Tool 是 一 种 非常 方便 的 配置 工具 ， 无 需 输入 长 长 的 命令 ,只 要 几 个 操作 就 可 以 完 
成 ， 但 是 此 工具 在 putty 远 程 连接 工具 中 可 能 会 无 法 开启 ， 建 议 在 本 机 中 配置 。Choose a Tool 
在 CentOS 6.x 最 小 安装 模式 中 是 没有 安装 的 ， 必 须 手动 安装 。 


CentOS 6.x 系统 管理 实战 宝典 


CED) 使 用 Choosea Tool 工 具 修改 ， 在 文本 模式 中 输入 【 setup 】 即 可 开启 进入 ， 选 择 
【 Network configuration ] 4È [ Run Tool E 


Authentication configuration 


Netuork configuration 


Go 选择 [ Device configuration b 


DNS configuration 


eth0 ( 
<New Device> 


CX 。 默认 为 DHCP 模 式 ， 如 果 网 络 是 使 用 DHCP 配 置 耳 地 址 就 无 需 修改 。 
Netvork Configuration 

Device 

Use DHCP 

Static IP 

Netnask 

Default gateway IP = 


Primary DNS Server 
Secondary DNS Server 


GS 。 配置 固定 了 地 址 必须 先 将 【 Use DCHP ] 选项 取消 , 配置 好 IP 地 址 后 , 按 [ Ok h 
CentOS 6.x 比 以 往 的 版 本 多 了 DNS 服务 器 配置 ， 所 以 如 果 有 配置 则 会 同步 到 
DNS 配置 文件 ( resolvconf ) 中 。 


Mame 
Device 

Use DHCP 

Static IP 

Netmask 

Default gateway IP 
Primary DNS Server 
Secondary DNS Server 


EIo 网 络 配置 完成 ， 按 【 Save] 保存。 


Select À Device 


tha (eth) - Advanced Micro Devices [AMD] 79c 
<New Device> 


€XX0» 接 下 来 配置 DNS 服务 器 ， 选 择 【 DNS configuration 】。 


1 t Action 


Device FE 


€XX9 配置 计算 机 名 称 及 DNS 服务 器 ， 配 置 完 成 后 ， 按 【 Ok 】 离开。 


DNS configuration 


Hostname 
Primary DNS 
Secondary DNS 
Tertiary DNS 
Search 


os 
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€XEX0 按 【Quit]， 退 出 Choose a Tool; 


Choose a Tool 


fiuthentication configuration 
Firewall configuration 


Network configuration 


System services 


GE) 网 络 配置 完成 后 ， 必 须 重 新 启动 网 络 服务 ， 配 置信 息 才 会 生效 。 


[root@localhost ~]# service network restart 


Shutting down interface eth0: [ OK ] 
Shutting down loopback interface: DXOK | 
Bringing up loopback interface: [ OK ] 
Bringing up interface eth0: DXORCST 


2.2 主机 禁止 ping 

Ping 命 令 在 网 络 检测 中 是 最 常用 的 一 个 命令 所 用 的 就 是 ICMP 协 议 ， 不 过 为 了 保护 主机 ， 
通常 会 禁用 ICMP 协 议 ， 忽 略 ICMP 数 据 包 ， 再 使 用 ping 方 法 对 这 人 台 主 机 检测 ， 这 时 没有 任何 
反应 。 
禁用 ICMP 协 议 


若 要 禁用 ICMP 协 议 ， 可 以 直接 输入 参数 或 编辑 配置 文件 ， 配 置 完成 后 无 需 重新 启动 。 


[root@localhost ~]#echo "1" »/proc/sys/net/ipv4/icmp echo ignore all 


// 直 接 输入 参数 
[root@localhost ~]#vi /proc/sys/net/ipv4/icmp echo ignore all 
1 //1 为 禁用 ， 默 认 没 有 配置 ， 表 示 启用 ICMP 协议 


再 使 用 其 他 主机 去 ping 该 主机 ， 会 出 现 请 求 超时 信息 。 


C:\Documents and Settings\user>ping 192.168.233.229 
Pinging 192.168.233.229 with 32 bytes of data: 
Request timed out. 

Request timed out. 

Request timed out. 


启用 ICMP 协 议 


若 要 局 用 ICMP 协 议 ， 可 以 直接 输入 参数 或 编辑 配置 文件 ， 配 置 完成 后 无 需 重新 启动 。 
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[root@localhost ~]# echo "0" >/proc/sys/net/ipv4/icmp_echo_ignore_all 


// 直 接 输入 参数 
[root@localhost ipv4]# vi /proc/sys/net/ipv4/icmp echo ignore all 
0 //0 为 启用 ， 默 认 没有 配置 ， 表 示 启 用 ICMP 协议 


再 使 用 其 他 主机 去 ping 该 主机 ， 就 会 有 回复 的 信息 。 


C:\Documents and Settings\user>ping 192.168.233.229 
Pinging 192.168.233.229 with 32 bytes of data: 

Reply from 192.168.233.229: bytes=32 time=19ms TTL=62 
Reply from 192.168.233.229: bytes-32 time-1ms TTL=62 
Reply from 192.168.233.229: bytes-32 time-1ms TTL=62 


2.3 单一 网 卡 配置 多 个 IP 地 址 


- 般 来 说 网 卡 在 CentOS 操 作 系 统 中 可 以 配置 多 个 耳 地 址 , 如 果 要 配置 两 个 IP 地 址 不 一 定 

要 有 两 块 网 卡 ， 两 个 下 地 址 可 以 共享 一 块 网 卡 设备 ， 是 否 要 配置 多 个 IP 地 址 可 根据 实际 情况 

查看 网 卡 信息 ， 第 一 个 网 卡 设备 名 称 为 eth0， 表 示 只 有 一 块 网 卡 ， 如 果 有 第 二 块 网 卡 就 叫 

做 ethl ，lo 是 本 机 1local loopback， 建 议 不 要 随意 修改 lo 配置 ， 目 前 使 用 的 下 地 址 为 
192.168.233.229。 


[root@localhost ~]#ifconfig // 查 看 网 卡 信息 
eth0 Link encap:Ethernet  HWaddr 00:50:56:81:00:15 
inet addr:192.168.233.229 Bcast:192.168.233.255 Mask:255.255.255.0 
inet6 addr: fe80::250:56ff:fe81:15/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:218643 errors:0 dropped:0 overruns:0 frame:0 
TX packets:8516 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:18348530 (17.4 MiB) TX bytes:1933501 (1.8 MiB) 
lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:16436 Metric:1 
RX packets:627 errors:0 dropped:0 overruns:0 frame:0 
TX packets:627 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:38076 (37.1 KiB) TX bytes:38076 (37.1 KiB) 


单一 网 卡 配置 第 二 个 IP 地 址 的 方法 (临时 性 ) 


在 etht0 上 配置 第 二 个 IP 地 址 ， 并 假设 第 二 个 人 P 地 址 为 192.168.233.228。 此 方法 只 能 临时 使 
用 ， 在 重新 启动 服务 器 或 是 重新 启动 网 络 服 务 后 就 会 消失 ， 如 果 每 次 重新 启动 时 ， 都 要 使 用 此 
配置 ， 就 要 增加 网 卡 的 配置 文件 。 
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[root@localhost /]#ifconfig eth0:0 192.168.233.228 up// 添 加 第 二 个 IPB 到 eth0: 0 
[root@localhost /]#ip addr show // 查 看 网 卡 IP 地 址 信息 
1: lo: «LOOPBACK,UP,LOWER UP» mtu 16436 qdisc noqueue state UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
inet6 ::1/128 scope host 
valid lft forever preferred lft forever 
2: eth0: «BROADCAST,MULTICAST,UP,LOWER UP» mtu 1500 qdisc pfifo fast state UP qlen 1000 
link/ether 00:50:56:81:00:15 brd ff:ff:ff:ff:ff:ff 
inet 192.168.233.229/24 brd 192.168.233.255 scope global eth0 
inet 192.168.233.228/24 brd 192.168.233.255 scope global secondary eth0:0 
// 第 二 个 IP 地 址 
inet6 fe80::250:56ff:fe81:15/64 scope link 
valid lft forever preferred lft forever 
3: sit0: <NOARP> mtu 1480 qdisc noop state DOWN 
link/sit 0.0.0.0 brd 0.0.0.0 


注意 ， 此 命令 只 可 以 配置 固定 了 地址 ， 不 可 以 使 用 DHCP 服 务 自动 获取 方法 ， 所 以 耳 地 址 
不 可 以 空 向 。eth0:0 代 表 第 一 块 网 卡 的 第 二 个 卫 名 称 ， 第 一 块 网 卡 的 第 三 个 卫 名 称 就 为 


eth0:1， 依 此 类 推 。 


有 增加 就 有 删除 ， 在 执行 删除 命令 时 dev eth0 是 指 实体 网 卡 ， 不 能 输入 eth0:0。 最 简单 的 方 
法 就 是 重新 启动 网 卡 就 会 消失 。 
[root@localhost /]# ip addr delete 192.168.233.228 dev eth0 // 删 除 第 二 个 IP 
Warning: Executing wildcard deletion to stay compatible with old scripts. 
Explicitly specify the prefix length (192.168.233.228/32) to avoid this warning. 
This special behaviour is likely to disappear in further releases, 
fix your scripts! 
[root@localhost /]# ip addr show // 再 次 查看 网 卡 信息 
1: lo: «LOOPBACK,UP,LOWER UP» mtu 16436 qdisc noqueue state UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
inet6 ::1/128 scope host 
valid lft forever preferred lft forever 
2: eth0: «BROADCAST,MULTICAST,UP,LOWER UP» mtu 1500 qdisc pfifo fast state UP qlen 1000 
link/ether 00:50:56:81:00:15 brd ff:ff:ff:ff:ff:ff 
inet 192.168.233.229/24 brd 192.168.233.255 scope global eth0 //X eth0:0 
inet6 fe80::250:56ff:fe81:15/64 scope link 
valid lft forever preferred lft forever 
3: sit0: <NOARP> mtu 1480 qdisc noop state DOWN 
link/sit 0.0.0.0 brd 0.0.0.0 
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单一 网 卡 配置 第 二 个 IP 地 址 的 方法 (固定 ) 


先 到 网 卡 配置 文件 目录 ,创建 第 二 个 人 P 地 址 的 网 卡 配 置 文件 ， 将 原来 网 卡 的 配置 文件 
ifefg-eth0 复 制 成 ifcfg-eth0:0， 复 制 好 第 二 个 人 P 的 网 络 配置 文件 后 ， 编 辑 该 配置 文件 ， 将 配置 文 
件 中 的 DEVICE 由 eth0 改 成 eth0:0， 修 改 【IPADDR=192.168.233.228 】， 将 BOOTPROTO 改 成 
static， 剩 下 的 配置 信息 与 其 他 网 络 配置 文件 一 样 。 


[root@localhost /]#cd /etc/sysconfig/network-scripts// 进 入 网 卡 配 置 文件 目录 
[root@localhost network-scripts]# cp ifcfg-ethO ifcfg-eth0:0 
// 复 制 ifcfg-eth0 至 ifcfg-eth0:0 
[root@localhost network-scripts]# vi ifcfg-eth0:0 
// 编 辑 第 一 块 网 卡 的 第 二 个 IP 地 址 
DEVICE=eth0:0 // 网 卡 的 名 称 为 eth0， 第 二 个 IP 地 址 则 要 输入 为 eth0:0 
HWADDR=00:50:56:81:00:15 
NM_CONTROLLED=yes 
ONBOOT=yes 
IPADDR-192.168.233.228 // 修 改 成 第 二 个 IP 地 址 
BOOTPROTO=static 
NETMASK-255.255.255.0 
TYPE-Ethernet 
GATEWAY-192.168.233.254 
DNS1-192.168.233.3 
IPV6INIT=no 
USERCTL=no 


接 下 来 就 是 重新 启动 网 络 服务 或 重新 启动 服务 器 ， 检 查 配 置 是 否 生效 。 


[root@localhost network-scripts]# service network restart 


Shutting down interface eth0: { OK | 
Shutting down loopback interface: [ OK ] 
Bringing UP loopback interface: [ OK ] 
Bringing up interface eth0: [ OK ] 


i 启动 后 ， 青 次 检查 配置 有 没有 消失 ， 如 果 没 有 表示 配置 成 功 。 


[root@localhost network-scripts]# ip addr show // 检 查 网 卡 信息 
1: lo: «LOOPBACK,UP,LOWER UP» mtu 16436 qdisc noqueue state UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
inet6 ::1/128 scope host 
valid lft forever preferred lft forever 
2: eth0: «BROADCAST,MULTICAST,UP,LOWER UP» mtu 1500 qdisc pfifo fast state UP qlen 1000 
link/ether 00:50:56:81:00:15 brd ff:ff:ff:ff:ff:ff 
inet 192.168.233.229/24 brd 192.168.233.255 scope global eth0 
inet 192.168.233.228/24 brd 192.168.233.255 scope global secondary eth0:0 
// 第 二 个 IP 地 址 
inet6 fe80::250:56ff:fe81:15/64 scope link 
valid lft forever preferred lft forever 
3: sit0: <NOARP> mtu 1480 qdisc noop state DOWN 
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link/sit 0.0.0.0 brd 0.0.0.0 


再 由 另 一 台 计算 机 测试 网 络 连 接 是 否 畅通 。 


C:\Documents and Settings\user>ping 192.168.233.228 
Pinging 192.168.233.228 with 32 bytes of data: 

Reply from 192.168.233.228: bytes=32 time=12ms TTL=62 
Reply from 192.168.233.228: bytes-32 time-1ms TTL=62 
Reply from 192.168.233.228: bytes-32 time-1ms TTL=62 
Reply from 192.168.233.228: bytes=32 time-1ms TTL=62 


E 


删除 第 二 个 IP 时 将 配置 文件 ifcfg-eth0:0 也 删除 ， 然 后 重新 启动 操作 系统 。 


2.4 双 网 卡带 宽 绑 定 


通常 想 要 实现 带宽 绑 定 ， 主 要 是 为 了 实现 设备 容错 、 负 载 均衡 、 端 口 绑 定 。 一 台 服 务 器 都 
会 有 两 块 网 卡 ， 不 过 一 般 只 会 使 用 一 块 网 卡 ， 此 时 将 服务 器 做 带宽 绑 定 是 有 必要 的 ， 以 免 浪 费 
另 一 块 网 卡 ， 也 可 以 减轻 一 块 网 卡 工作 的 负担 

检查 网 络 配置 可 以 看 到 有 两 块 网 卡 eth0 和 eth1， 现 在 要 将 两 块 网 卡带 宽 绑 定 ， 必 须 配置 这 
两 块 网 卡 。 


[root@localhost ~]# ifconfig 

etho Link encap:Ethernet HWaddr 00:0C:29:91:5F:2E 
inet addr:192.168.233.200 Bcast:192.168.233.255 
Mask:255.255.255.0 
inet6 addr: fe80::20c:29ff:fe91:5f2e/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:43 errors:0 dropped:0 overruns:0 frame:0 
TX packets:49 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:4745 (4.6 KiB) TX bytes:5831 (5.6 KiB) 


eth1 Link encap:Ethernet HWaddr 00:0C:29:91:5F:38 
inet addr:192.168.233.201 Bcast:192.168.233.255 
Mask:255.255.255.0 
inet6 addr: fe80::20c:29ff:fe91:5f38/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:4 errors:0 dropped:0 overruns:0 frame:0 
TX packets:11 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:422 (422.0 b) TX bytes:746 (746.0 b) 


先进 入 network-scripts 目 录 ， 编 辑 第 一 块 网 卡 eth0 的 配置 文件 ， 内 容 如 以 下 所 示 ， 编 辑 完 后 
保存 文档 。 


[root@localhost network-scripts]# cd /etc/sysconfig/network-scripts 
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[root@localhost network-scripts]# vi ifcfg-eth0 

DEVICE-ethO 

ONBOOT-yes 

BOOTPROTO-none 

USERCTL-no 

MASTER=bond0 // 带 宽 绑 定 后 的 网 卡 配置 ，bondo 为 绑 定 带宽 的 网 卡 名 称 
SLAVE=yes 


再 来 编辑 第 二 块 网 卡 eth1 的 配置 文件 , 增加 内 容 与 eth0 配 置 文件 一 样 , 编辑 完 后 保存 文档 。 


[root@localhost network-scripts]# vi ifcfg-ethl 
DEVICE-ethl 

ONBOOT-yes 

BOOTPROTO-none 

USERCTL-no 

MASTER-bond0 ”// 带 宽 绑 定 后 的 网 卡 配 置 ，bondo 为 绑 定 带宽 的 网 卡 名 称 
SLAVE=yes 


接 下 来 创建 一 个 新 的 配置 文件 ifcfg-bond0， 内 容 如 下 ， 第 5、6、7、8 行 请 根据 环境 进行 人 

配置 ， 编 辑 完 后 保存 文档 。 

[root@localhost network-scripts]# vi ifcfg-bond0 

DEVICE=bond0 

ONBOOT-yes 

IPADDR-192.168.233.200 // 带 宽 绑 定 后 的 TP 地 址 

BOOTPROTO-none 

NETMASK-255.255.255.0 

GATEWAY-192.168.233.1 

DNS1-192.168.233.1 


编辑 modprobe.conf， 增 加 两 行 配置 信息 ，miimnon=100 为 每 100 毫 秒 〈0.1 秒 ) 检查 网 络 一 
次 ， 可 根据 个 人 需求 进行 设置 ， 这 代表 网 络 如 果断 线 ，0.1 秒 就 会 恢复 连接 ，mode 为 网 卡 工作 
模式 ， 共 有 7 种 ， 通 常设 置 0(、1、6 这 几 种 。 

[root@localhost /]# vi /etc/modprobe.conf 


alias bond0 bonding 
options bond0 miimon-100 mode-1 


Mode 模 式 的 功能 如 下 表 所 示 。 


mode 功能 功能 说 明 
负载 均衡 模式 需 有 switch 配置 (trunk) 支持 才能 发 挥 实际 


ones 效果 ， 具 有 容错 功能 ， 其 中 一 块 网 卡 失效 仍 可 持续 工作 
, 同一 时 间 只 有 一 块 网 卡 工 作 ，Active Slave 其 中 一 块 网 卡 断 
1 active-backup 


线 时 自动 启用 另 一 块 网 卡 ， 不 需 switch 支持 


2 balance-xor 具 容 错 作用 
3 TE 所 有 网 卡 一 起 收发 网 络 数据 包 ，, 具 容错 功能 ， 其 中 一 块 网 络 
TS 卡 断 线 仍 可 持续 工作 
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( 续 表 ) 
mode 功能 功能 说 明 
4 802.3ad 无 实际 功能 ， 不 建议 使 用 
发 送 数 据 包 自动 负载 均衡 ， 接 收 数据 包 由 Current Active 
5 balance-tlb Slave 负责 ， 具 容错 功能 ， 其 中 一 块 网 络 卡 失效 仍 可 持续 工 


作 ， 不 需 switch 支持 及 配置 

发 送 及 接收 皆 自 动 负载 均衡 ， 具 容错 功能 ， 其 中 一 块 网 络 卡 
6 balance-alb 断 线 时 仍 可 持续 工作 ， 网 络 卡 区 动 程序 需 支 持 setting 

hardware address 功能 ， 不 需 switch 支持 及 配置 


全 部 配置 完成 后 ， 重 新 启动 网 卡 ， 让 bond0 重 新 启动 。 
[root@localhost /]# service network restart 
Shutting down interface bond0: | 
Shutting down loopback interface: [OK 
Bringing UP loopback interface: [ OK ] 
Bringing up interface bond0: [ OK ] 


查看 网 卡 配 置信 息 ， 可 以 看 到 只 有 bond0 有 配置 IP 地 址 ， 不 过 其 他 两 块 网 卡 仍 正常 工作 。 


[root@localhost /]# ifconfig 

bond0 Link encap:Ethernet HWaddr 00:0C:29:91:5F:2E 
inet addr:192.168.233.200 Bcast:192.168.233.255 
Mask:255.255.255.0 
inet6 addr: fe80::20c:29ff:fe91:5f2e/64 Scope:Link 
UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1 
RX packets:3491 errors:0 dropped:0 overruns:0 frame:0 
TX packets:1699 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:330865 (323.1 KiB) TX bytes:268485 (262.1 KiB) 


etho Link encap:Ethernet HWaddr 00:0C:29:91:5F:2E 
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1 
RX packets:2670 errors:0 dropped:0 overruns:0 frame:0 
TX packets:1669 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:245559 (239.8 KiB) TX bytes:265153 (258.9 KiB) 


ethl Link encap:Ethernet HWaddr 00:0C:29:91:5F:2E 
UP BROADCAST RUNNING SLAVE MULTICAST MIU:1500 Metric:1 
RX packets:821 errors:0 dropped:0 overruns:0 frame:0 
TX packets:31 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:85306 (83.3 KiB) TX bytes:3566 (3.4 KiB) 


查看 bonding 状 态 ， 可 以 看 到 bond0 的 配置 信息 ， 这 样 就 是 带宽 绑 定 成 功 。 


[root@localhost /]# cat /proc/net/bonding/bond0 
Ethernet Channel Bonding Driver: v3.5.0 (November 4, 2008) 
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Bonding Mode: fault-tolerance (active-backup) 
Primary Slave: None 

Currently Active Slave: eth0 

MII Status: up 

MII Polling Interval (ms) : 100 

Up Delay (ms) : 0 

Down Delay (ms) : 0 


Slave Interface: eth0 

MII Status: up 

Link Failure Count: 0 

Permanent HW addr: 00:0c:29:91:5f:2e 


Slave Interface: ethl 

MII Status: up 

Link Failure Count: 0 

Permanent HW addr: 00:0c:29:91:5f:38 


2.5 禁用 IPv6 支 持 提高 网 络 效率 


IPv6 协 议 是 下 一 代 下 地 址 的 通信 协议 ， 目 前 所 使 用 的 IPv4 协 议 ， 因 了 P 地 址 随 互 联网 用 户 的 
快速 增长 , 很 快 就 会 面临 用 完 的 困境 ， 所 以 IPv6 协 议 势 必 成 为 未 来 的 趋势 。 而 绝 大 多 数 的 Linux 
操作 系统 都 支持 IPv6 协 议 ， 甚 至 很 多 主流 的 Linux 操 作 系 统 默认 安装 后 可 直接 启用 。 可 以 根据 
实际 应 用 禁用 IPv6 支 持 。 检 查 网 络 配置 ,如果 有 inet6 addr 相 关 信 息 ， 表 示 IPv6 协 议 是 开启 状态 。 


[root@localhost ~]# ifconfig 

eth0 Link encap:Ethernet HWaddr 00:50:56:81:00:29 
inet addr:192.168.233.232 Bcast:192.168.233.255 Mask:255.255.255.0 
inet6 addr: fe80::250:56ff:fe81:29/64 Scope:Link //IPv6 协议 开启 状态 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:4102784 errors:0 dropped:0 overruns:0 frame:0 
TX packets:37805 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes: 295272673 (281.5 MiB) TX bytes:4274203 (4.0 MiB) 


禁用 IPv6 支 持 的 方法 很 简单 ， 即 在 disable-ipv6.conf 配 置 文件 中 增加 install ipv6 /bin/true, £A 
后 重新 启动 ， 配 置 才 会 生效 。 


[root@localhost ~]# echo "install ipv6 /bin/true" > /etc/modprobe.d/disable-ipv6.conf 


重新 启动 网 络 服务 后 ， 再 次 检查 网 卡 信息 ， 则 不 会 再 出 现 inet6 addr， 代 表 IPv6 已 停 用 。 


[root@localhost ~]# ifconfig 

eth0 Link encap:Ethernet HWaddr 00:50:56:81:00:29 
inet addr:192.168.233.232 Bcast:192.168.233.255 Mask:255.255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
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RX packets:82 errors:0 dropped:0 overruns:0 frame:0 
TX packets:42 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:7598 (7.4 KiB) TX bytes:5582 (5.4 KiB) 


有 关闭 就 有 开局， 不然 要 使 用 IPV6 时 ， 却 不 知 如 何 开启 就 麻烦 了 。 要 启用 IPv6 协 议 ， 只 要 
删除 配置 文件 中 的 install ipv6 /bin/true 或 删除 disable-ipv6.conf 文 件 即 可 。 


[root@localhost ~]# vi /etc/modprobe.d/disable-ipv6.conf 
install ipv6 /bin/true // 删 除 此 行 
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3.1 PuTTY 远 程 连接 工具 
PuTTY 官 方 网 站 : http://www.chiark.greenend.org.uk/~sgtatham/putty/ o 


PuTTY 是 一 种 加 密 的 Telnet/SSH 安全 远程 连接 工具 ， 历 史 悠久 。 它 是 远程 连接 Linux 系 统 
很 棒 的 工具 ， 不 过 此 工具 有 一 个 缺点 ， 在 非 英文 语系 的 系统 中 ， 会 出 现 乱 码 。 


PuTTY 登 录 方 式 


在 【HostName】 中 输入 卫 地 址 ，SSH 端 口 默认 为 22， 输 入 完毕 后 ， 按 【Open】 即 可 连接 ， 
如 果 想 保留 主机 的 卫 地 址 ， 即 可 在 【Saved Sessions】 中 输入 该 地 址 ， 按 【Save】 保 存 。 


Category 

© Session Basic options for your PUTTY session 
Logging Speci the destination you want to connect to 

= Terminal E 
Keyboard Host Name (or IP address) ort 
Bel | emi 
Features Connection ype: 

S Window OBaw Olene ORlgn ©SSH O Serial 
Deam Load, save or delete a stored session 
Translation Savad Sessione — 58 z 
Selection 
am [Den | 

= Connection 19216823310 "e 
Daa 18216823311 ‘Saye 
co 18216823313 

1682331 
I ied 18216823315 (Lise ] 
Riogn 19216823317 
i SSH 
Sen Close window on ext 
OAways ONever © Only on clean exit 
Aer ] (ge 


输入 账号 和 密码 后 ， 即 可 进入 CentOS 操 作 系统 。 
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ot@localhost:= BET 


3.2 PieTTY 远 程 连接 工具 


过 于 


PieTTY 官 方 网 站 : http://www.csie.ntu.edu.tw/~piaip/pietty/。 
PuTTY 是 一 个 小 巧 方便 的 Telnet/SSH 安全 远程 连接 工具 ， 对 于 初学 者 来 说 它 的 使 用 界面 


P 复杂 ， 而 且 在 用 于 非 英语 语言 时 有 非常 多 的 问题 。PieTTY 源 自 于 PuTTY， 在 使 用 界面 上 


有 大 幅度 改进 ， 对 初学 者 来 说 是 易学 易 用 的 工具 。 目 前 暂时 没有 简体 中 文 版 本 。 
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PieTTY 0.4 系列 是 修改 自 PuTTY 0.57/0.58 的 版 本 ， 以 稳定 与 修正 为 主 。 主 要 的 特色 有 : 


简单 易 用 的 界面 。 主 要 的 功能 都 可 以 从 选项 中 选择 。 

完全 兼容 于 传统 PuTTY 工 具 ， 之 前 的 配置 全 部 可 直接 使 用 。 

* 更 强 的 连接 整合 管理 (session management )， 自 动 保存 配置 。 

d 高 度 自 定义 (customizable) 窗口 显示 效果 。 

d 半 透 明显 示 (多 种 显示 引擎 以 配合 各 种 硬件 设备 与 窗口 立体 阴影 ， 配 合 无 框 显示 模式 
效果 奇 佳 )。 

外 支持 ssh:// 方 式 的 连接 ， 可 整合 系统 设置 为 ssh:// 与 telnet:// 处 理工 具 。 

a 对 于 各 种 网 址 URL 可 直接 单 击 打 开 ， 还 有 多 种 可 选用 的 视觉 效果 。 

d 支持 拖 旬 文件 (Drag-n-drop ) 即 可 进行 SCP 上 传 。 

对 于 非 英文 字符 ，PieTTY 特别 增强 的 部 分 有 : 


d 可 使 用 英文 等 其 他 字符 集 ， 而 且 不 用 配置 字符 集 (CHARSET) (传统 PuTTY 则 一 定 
要 配置 正确 才 行 )。 

d 在 非 UTF8 模式 下 PieTTY 的 光标 也 能 正确 显示 (传统 PuTTY 会 破坏 光标 上 的 多 位 字 
符 串 )。 

d 重复 使 用 时 屏幕 完全 不 闪 动 (PuTTY 在 非 UTF8 字符 集中 会 闪 )。 

对 繁体 中 文 及 BBS 环境 有 更 多 的 增强 功能 : 


* 内 置 Big5-2003 + 相 容 Unicode 补 完 计划 2.40 版 字 码 表 ， 不 安装 Unicode 补 完 即 可 正常 
剪贴 或 输入 日 文 等 。 
a 内 置 简单 的 汉字 (AK) 转换 ， 方 便 阅 读 。 


e e 


远程 管理 工具 


X 支持 一 字 双 色 的 ANSI 码 。 
* 复制 文字 时 可 自动 将 属性 颜色 以 ANSI 码 或 IRC 形式 加 入 ，BBS 与 IRC 互 贴 彩色 不 是 
梦 ! 
启用 PieTTY 工 具 后 输入 主机 名 或 了 地址 ， 端 口 Port 默 认为 22， 按 下 【Open】 即 可 以 连接 ， 
使 用 模式 如 果 选 择 【PuTTY mode】 的 话 ， 选 项 会 与 PaTTY 一 样 。 


- PieIIT Configuration 


-: It's Easy To Create Your Connection. 
» Host Name (or IP address) Port 
192.168.233.10 we | 
O Telnet (BBS) ©ssH 


User Interface. 
回 Menubar ZIEngish ut 
PieTTY Information 


PieTTY Version 0.4.00 (beta 14) by Hung-Te 
Lin <piaip@csie.org> 


aot 
第 一 次 启动 时 会 提示 是 否 要 进入 PuTTY 兼 容 模式 ， 按 【是 】 进 入 系统 。 
PieTTY 177] 


PUTTY (Classic) Mode invokes PUTTY style configuration which 
you can save session and let the fully compatible PieTTY use it. 


Are you sure to enter PuTTY mode? 
(Pie TTY will always be in Pie TTY mode after each restart) 


mm ae 


启动 后 的 界面 与 PaTTY 相 似 ， 不 过 工具 栏 上 多 出 了 一 些 功 能 选项 ， 可 以 配置 字符 等 功能 。 


B root@localhost:~ [80x24] o|o x" 
Connedion Edit View Option Help 


3.3 WinSCP 文 件 传输 工具 


官方 网 站 : http://winscp.net/eng/docs/lang:cht。 
WinSCP 是 在 Windows 中 使 用 SSH 的 开源 图 形 化 SFTP 客 户 端 ， 同 时 支持 SCP 协 议 。 它 的 主 
要 功能 就 是 在 本 地 与 远程 计算 机 间 安 全 地 复制 文件 。 
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下 载 WinSCP 


工具 


下 载 地 址 : http://winscp.net/eng/download.php。 
下 载 版 本 有 两 种 ，Installation package 安 装 版 和 Portable executables 免 安装 版 。 现 在 的 版 本 


已 经 支持 多 国语 言 ， 为 了 能 正常 支持 简体 中 文 ， 需 要 使 用 Installation package 版 本 安装 ， 然 后 
下 载 简体 中 文 (Simplified Chinese) 插件 ， 将 插件 包 解 压缩 到 WinSCP 安装 目录 即 可 。 但 是 免 
安装 版 本 无 法 使 用 简体 中 文 。 


WinSCP 介 绍 


支持 基于 


支持 SSH 


€ € «€ «€ € «€ € «€ « € «€ € «€ 


图 形 用 户 界面 。 

多 国语 言 界 面 。 

Windows 整 合 ( 拖 放 文件 、URL、 快 捷 方式 )。 
支持 所 有 常用 文件 操作 。 


SSH-1 和 SSH-2 上 的 SFTP 与 SCP 协议 。 


支持 批 处 理 脚本 和 命令 行 模式 。 
多 种 半自动 、 自 动 的 目录 同步 方式 。 
内 置 文本 编辑 器 。 


密码 、 键 盘 互 动 、 公 钥 与 Kerberos (GSS) 认证 方式 。 


内 置 Pageant (PuTTY Agent) 完整 支持 公 钥 认证 法 。 

提供 Windows Explorer 与 Norton Commander 界面 。 

可 选择 保存 会 话 信息 。 

可 将 设置 保存 在 配置 文件 中 而 非 注 册 表 中 ， 适 合 在 移动 介质 上 操作 。 


WinSCP 可 以 进行 所 有 基本 的 文件 操作 ， 包 括 下 载 与 上 传 文件 ， 同 时 允许 为 文件 和 目录 重 
新 命名 、 新 增 文件 夹 、 修 改 内 容 、 建 立 符号 链接 (symbolic links) 与 快捷 方式 。 
连接 远程 主机 : WinSCP 可 以 连接 一 台 提 供 SSH (Secure Shell) 服务 与 SFTP (SSH File 


Transfer Protocol) 


或 SCP (Secure Copy Protocol) 服务 的 主机 ， 这 些 服务 通常 是 UNIX 机 器 上 


的 服务 。SFTP 是 SSH-2 协 议 标 准 的 一 部 份 , 而 SCP 是 SSH-1 协 议 的 标准 。 两 种 协议 都 可 以 在 SSH 
版 本 上 运行 。WinSCP 同 时 支持 SSH-1 与 SSH-2。 

工具 操作 界面 : WinSCP 有 两 种 可 以 选择 的 操作 界面 与 许多 配置 选项 ， 两 种 可 选 界面 允许 
用 户 管理 远程 或 本 地 的 文件 。 在 安装 时 可 以 选择 用 户 所 喜欢 的 操作 界面 ， 也 可 以 在 选项 中 改变 
它 。 如 果 是 第 一 次 使 用 WinSCP， 可 能 会 希望 选择 比较 熟悉 的 文件 操作 界面 ， 或 是 已 习惯 被 应 


用 在 许多 文件 管理 
概念 的 双 窗 界面 ， 


BE 工具 中 (如 Total Commander, FAR, Altap Salamander) 的 Norton Commander 
可 选择 这 个 操作 界面 。 双 窗 界面 的 设计 可 以 简单 地 使 用 键盘 操作 工具 ， 甚 至 


不 用 碰 触 鼠标 ， 使 用 此 界面 可 以 更 快 地 操作 WinSCP 工 具 。 


32 


WinSCP 操 作 使 用 


执行 WinSCP 程 序 打开 操作 界面 ， 在 【会 话 】 选 项 中 ， 可 以 输入 主机 名 或 下 地 址 、 用 户 名 、 
密码 ， 如 果 有 密 钥 文件 也 可 以 导入 ， 输 入 登录 服务 器 信息 后 按 下 【登录 】 即 可 开启 WinSCP 工 
具 ， 如 果 想 保存 登录 主机 的 信息 ， 即 可 按 下 【保存 】 这样 就 不 用 每 次 登录 的 时 候 输 入 主机 信 
息 了 。 


By WinscP BR Tene 
存储 的 会 话 Jobe 
ES XERE 
目录 SFTP 
Eo anaw nee) 
zz 
máu E] 
EE 
[e] 
EL 
esa) 
ER sm 


T Ute Y, WinSCP 会 将 连接 服务 器 信息 保存 ,也 会 询问 要 不 要 保存 密码 , 如 果 没 色 选 【 保 
存 密码 ]， 则 不 会 保存 密码 信息 。 
| 


会 话 另存 为 G]: 
rootG@192168.233.230| 


保存 密码 不 推荐 jP] 


保存 连接 服务 器 数据 后 ， 会 回 到 WinSCP 登 录 界 面 ， 以 后 只 要 在 【会 话 】 下 面 的 【存储 的 
会 话 】 中 选择 保存 的 主机 连接 数据 ， 再 按 【 登 录 】 就 可 以 开启 WinSCP 了 。 


4 


PI 
EI 100t@192 168 233 220 
FSS ‘oot@192 168233221 (amen ) 
环境 ‘ook@192 168 233 222 Caso ) 
BR rook@192 160.209 229 m m 
ES 0018132 168233 224 E 
100t@192 168 233 225. à 
soKQ132 168.232 226 re 
160/9192 160.232.200 
ESPERE. I) 
Shelf) 
BL] ZEB. 
sepe) | [ Languages =z 855. 1v) Gasa 


第 一 次 登录 主机 都 会 出 现 和 警告 信息 ， 警 告 没有 连接 服务 器 的 密 钥 信息 的 缓存 信息 ， 是 否 要 
将 密 钥 信息 保存 到 缓存 中 ， 按 【是 】 即 保存 密 钥 信息 ， 也 可 以 登录 服务 器 。 
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ARMAREN RE SROTOREAMARE RS RASA MA: 


SEDE NEW 
X (Biker) Mii 


WinSCP 登 录 界面 如 下 图 所 示 ， 其 操作 方式 和 Windows 的 文件 操作 一 样 ， 
制 、 修 改 、 更 改 文件 权限 等 ， 简 单方 便 。 


By Windows - roorm19z.168.233.230 - WinSCP Te 
ESL) AM) NH PAO SEO BOQ) WAS UH 
eg. ee Bas si ma s 
EXE | + | 
üpcobib - GM (4  - BUA Por -am >- iG d (2 | te 
CANWindows 

Xe Sese Gms + 


LE ce z 
q root — 2012/0 
nt 


2. 
Bi addins 
| Š AppCompat 
Di AppPatch 


DB o 52 8008 n Qo 37 
GP FT ABRAR 六 o ine o en Ke rao its 
@ SFiP3 dX ona 4 


DB 0f 11.733 KB in 0 of 148 


3.4 Webmin 系 统管 理工 具 


Webmin 官 方 网 站 : http://www.webmin.com/. 
Webmin 体验 网 站 : http://webmin-demo.virtualmin.com/。 


可 以 重 命名 、 复 


Webmin 人 允许 管 理 员 通 过 浏览 器 访问 CentOS 操 作 系统 的 各 种 管理 功能 并 完成 相应 的 管理 
工作 。 官 方 网 站 还 提供 体验 网 站 ， 登 录 账号 和 密码 都 为 Demo， 若 未 使 用 过 此 工具 ， 可 以 先 登 


录 体 验 一 下 。 


下 载 Webmin 软 件 并 安装 


Webmin 安 装 方法 很 简单 ， 以 往 是 使 用 targzip 安 装 ， 现 在 提供 RPM 方式 ， 这 为 安装 人 员 带 


来 许多 便利 ， 可 利用 wget 命 令 直 接 下 载 到 CentOS 服 务 器 安装 。 


[root@localhost /]# wget 
http: //prdownloads . sourceforge .net /webadmin/webmin-1.590-1.noarch.rpm 


下 载 Webmin 软 件 完 成 后 就 可 以 进行 安装 了 , 不 过 安装 前 , 先 确认 是 否 安装 Apache Webmin 
是 工作 在 Apache 网 站 服务 器 上 的 , 确认 安装 Apache 网 站 软件 后 ， 立 即 进行 Webmin 软 件 的 安装 。 
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[root@localhost /]# rpm -ivh webmin-1.590-1.noarch.rpm  //%4% Webmin 软件 


warning: webmin-1.590-1.noarch.rpm: Header V3 DSA/SHA1 Signature, key ID 11f63c51: NOKEY 


Preparing... THEHEEIHHHHEHEHHHHHHHHHHHHHHHHHHHHHHHHHHHHHRE 
Operating system is CentOS Linux 


1:webmin THHEHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHRBHHHHHE [100%] 
Webmin install complete. You can now login to http://localhost.localdomain:10000/ 


as root with your root password. 


配置 防火 墙 


Webmin 默 认 使 用 的 端口 为 10000， 需 要 编辑 防火 墙 配置 文件 开放 该 端口 。 


[root@localhost /]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m udp -p tcp --dport 10000 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


修改 防火 墙 配置 文件 后 ， 必 须 重新 启动 防火 墙 程序 ， 配 置信 息 才 会 生效 。 


[root@localhost]# service iptables restart 


iptables: Flushing firewall rules: [EN 
iptables: Setting chains to policy ACCEPT: filter [ OK ] 
iptables: Unloading modules: [70K 7 
iptables: Applying firewall rules: [ OK ] 


重新 启动 Apache 服 务 


防火 墙 配置 完成 后 ， 重 新 启动 Apache 服 务 ，Webmin 才 可 以 正常 使 用 。 


[root@localhost]# service httpd restart 


Stopping httpd: [ OK ] 
Starting httpd: [0k 1 
使 用 Webmin 工 具 


- 切 安装 配置 完成 后 ， 打 开 浏 览 器 ， 输 入 【http://IP 地 址 :10000】)，Webmin 会 出 现 输入 账号 


和 密码 的 界面 ， 账 号 和 密码 为 系统 管理 者 账号 ， 默 认 使 用 root 账 号 登录 。 


35 


CentOS 6.x 系统 管理 实战 宝典 


Login to Webmin 


You must enter a username and password to login to the Webmin server on 
192.168.233.230. 
Username | 


Password 


回 Remember login permanently? 


Webmin 操 作 界 面 如 下 ， 默 认为 英文 界面 。 


Cote. mem m Emm oo Be 


LL AIT EE EE EE | | 


A View Modde’ Logs 
W System information 
D Retesh Mosses 


@ Logo 


Virtual memory — 354 GE tol, 0 bytes uved 


Local disk apace = 1500 GO total, 299 GO used 


Package updates Ad installed packages are up to date 


如 果 不 习惯 默认 英文 界面 ， 可 以 自行 修改 , 在 【Webmin】 了 【Change Language and Theme] 
> [Webmin UI Language] > [Personal choice】 中 ， 选 择 Simplified Chinese (ZH_CN.UTF-8), 
按 【Make Change】 转 换 语 言 界 面 。 


Login: root [3 

Bm Change Language and Theme 
Backup Confguration Files. 
(Change Language and This module can be used to change the language that modules are displayed in and the theme that 
Theme Webmin's appearance, for your Webrrin account only. 
Wetmin Actions Log 
Webmin Configuration Webmi nguage © Global language (Engish US) 
Webmin Seners hdex Personal choice. Simplifed Chinese CH CNUTFS) — 
Webmin Users Is 

O System =| Webmin UI theme bal sréme (Blue Framed Theme) 

D Seners BefSonal choice. Old Webmin Theme v 

@ Others 

B Networking Make Changes 

B Hardware 


将 浏览 器 关闭 并 重新 开启 后 ， 默 认 语言 就 为 简体 中 文 。 对 于 如 何 使 用 Webmin， 在 此 不 用 
多 说 ， 界 面 很 容易 上 手 。 
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元 Ae 
远程 管理 工具 
Tran oo 
B Webmin H 
os webmin 
回 最 务 器 
[ET 
Ons System hostname = lecalhost locsidomain (127601) 
Oe Operating system CentOS Linux ED 
Ors Webmin version 590 
四 Unruced Modules Time on system ^ Won Aug 27 028122012 
Kemel and CPU Liru» 2622-70 £65.81 on 466 64 
Searcl paue te) Xean(f 233GHz 4 cores 
bh: Tifermationi InteXP) Xeon(A) CI D @ 2:33GHz. 4 
um System uptine chou, ine 
tem Information processes 220 
oh Modulos CPU load averages 0100 (1 nir) 0.07 (6 mine) 0.07 (16 mine) 
CPU usage "user GN kerel, Ds IO, 9676 le 
Real memory yel. 557.05 MB used 
Vinual memory — 35455 tol ore usec 
Local diskspace (550 56 el 25558 used 
Package updates Alinsaled packages are up o cae 


使 用 yum 方 法 安装 


默认 使 用 yum 时 无 法 安装 Webmin， 原 因 是 该 软件 没有 在 官方 站 点 存放 ， 也 没有 放 进 系统 

安装 光盘 。 虽 然 以 前 要 用 tar 方 式 安装 ， 但 是 之 后 编译 出 了 RPM 安装 包 ， 所 以 只 好 自行 配置 更 
新 站 点 。 在 /etc/yum.repo.d 中 创建 webmin.repo 文 件 ， 编 辑 完成 后 保存 退出 ， 然 后 导入 Webmin 
开放 源 代码 的 GPG 的 数字 签名 。 

[root@localhost /]# vi /etc/yum.repos.d/webmin.repo 

[Webmin] 

name=Webmin Distribution Neutral 

baseurl-http://download.webmin.com/download/yum  ”// 配 置 webmin 安装 来 源 站 点 

enabled-1 

[root@localhost /]# rpm --import http://www.webmin.com/jcameron-key.asc 


然后 使 用 yum 方 式 进行 安装 ， 这 次 就 会 出 现 Webmin 安 装 软件 信息 ， 其 他 相关 配置 和 之 前 
的 配置 相同 。 


[root@localhost /]# yum install webmin 
Dependencies Resolved 


Installing: 
webmin noarch 1.590-1 Webmin 16 M 


Transaction Summary 


Install 1 Package (s) 
Upgrade 0 Package (s) 


Total download size: 16 M 
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系统 管理 技巧 


4.1 登录 前 后 显示 信息 


登录 前 显示 的 信息 除了 是 一 名 标语， 也 可 以 达到 提醒 的 效果 ， 类 似 备忘录 的 功能 ， 下 面 介 
绍 登录 前 后 如 何 配置 显示 信息 。 
CentOS 6.x 操 作 系统 登录 前 的 信息 ， 默 认 只 有 操作 系统 版 本 号 及 内 核 版 本 号 ， 接 下 来 就 是 
输入 账号 。 
CentOS Linux release 6.0 (Final) 


Kernel 3.6.32-71.e16.x86 64 on x86 64 
Localhost login: 


如 果 需 要 显示 信息 ， 需 编辑 /etc/issue 配 置 文件 ， 在 最 后 加 上 Welcome， 保 存 后 退出 。 


[root@localhost /]# vi /etc/issue 
CentOS Linux release 6.0 (Final) 
Kernel Mr on an \m 


Welcome // 登 录 前 显示 的 文字 信息 
若 要 测试 刚才 配置 是 否 会 生效 ， 需 要 重新 登录 ， 输 入 账号 和 密码 前 就 会 有 登录 前 配置 的 信 
息 ， 如 果 出 现 配置 的 信息 ， 表 示 配 置 成 功 。 


CentOS Linux release 6.0 (Final) 
Kernel 3.6.32-71.e16.x86 64 on x86 64 
Welcome 

Localhost login: 


登录 前 显示 的 信息 只 能 在 本 机 登录 时 出 现 ， 使 用 [ 具 时 不 会 看 到 此 信息 。 


= 


对 于 登录 后 显示 的 信息 ， 需 要 编辑 /etc/motd， 输 入 所 要 显示 的 欢迎 信息 ， 保 存 后 退出 。 


[root@localhost ~]# vi /etc/motd 
check system // 登 录 后 显示 的 文字 信息 


测试 登录 后 是 否 会 显示 文字 信息 ， 如 果 出 现 所 配置 的 信息 ， 表 示 配 置 成 功 。 
login as: root 


root@192.168.233.229's password: ********* 


Last login: Wed Aug 24 19:19:02 2011 from 192.168.233.1 
check system 


4.2 配置 Choose a Tool LA 


CentOS 6.x 操 作 系统 内 有 一 个 很 好 用 的 工具 ， 那 就 是 输入 【setup】 命 令 就 会 出 现 Choose a 
Tool 工 具 ， 可 以 配置 防火 墙 、 网 络 、 系 统 服务 等 。 


Choose a Tool 


fiuthentication configuration 
Firewall configuration 


Network configuration 
System services 


CentOS 6.x 操 作 系统 如 果 是 最 小 化 安装 就 无 法 使 用 该 工具 ， 因 为 最 小 化 安装 几乎 什么 软件 
都 不 装 ， 所 以 要 使 用 该 工具 都 要 自行 安装 。 
[root@localhost ~]# setup 
-bash: setup: command not found 


虽然 Choose a Tool 工 具 对 高 级 使 用 者 没有 影响 ， 但 是 初学 者 还 是 很 需要 的 ， 只 要 管理 工具 
使 用 方便 ， 不 用 管 管理 工具 是 高 级 还 是 低级 ， 安 装 Choose a Tool 工 具 需 要 以 下 相关 软件 ， 可 以 
使 用 yum 在 线 安装 方法 安装 以 下 软件 setuptool 、ntsysv 、 system-config-firewall-tui 、 
system-config-network-tui。 


[root@localhost ~]# yum install setuptool ntsysv system-config-firewall-tui 
system-config-network-tui 


Dependencies Resolved 


Repository Size 


Installing: 


ntsysv x86 64 1.3.47-1.e16 base 28 k 
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setuptool x86 64 

system-config-firewall-tui  noarch 

system-config-network-tui noarch 
Installing for dependencies: 


crda x86 64 
dbus-python x86 64 
iw x86 64 
libnl x86 64 
pciutils x86 64 
python-ethtool x86 64 
python-iwlib x86 64 
usermode x86 64 
wireless-tools x86 64 


Updating for dependencies: 


System-config-firewall-base noarch 


Transaction Summary 


Install 13 Package (s) 
Upgrade 1 Package (s) 


Total download size: 2.5 M 


成 功 安装 Choose a Tool 工 具 后 ,再 次 输入 【setup】 检 查 是 否 可 以 使 用 记 住 如 果 使 用 PuTTY 


m 
0 
0 
工 
BE 
0 
0 
1 
Hn 


2:19.9-3.e16 
1.2.27-3.e16_0.2 
1.6.0.e16.2-1.e16 


.1.1 2009.11.25-3.e16 
.83.0-6.1.e16 
.9.17-4.e16 
.1-12.e16 0.1 
1.4-9.e16 

.3-5.1.e16 

.1-1.2.e16 

.102-3.e16 
:29-5.1.1.e16 


1.2.27-3.e16 0.2 


base 59k 
updates 37 k 
base 1.2 M 
base 23k 
base 204 k 
base 35k 
updates 120 k 
base 82k 
base 21k 
base 14k 
base 187 k 
base 94k 


updates 418 k 


就 有 可 能 不 能 正常 显示 ， 那 是 系统 编码 问题 ， 所 以 建议 在 本 机 测试 。 


4.3 自动 调整 错误 路 径 


通常 输入 路 径 时 ， 会 打 错 一 两 个 字 ， 就 会 出 现 错误 信息 ，CentOS 提 供 了 
过 这 个 技巧 不 是 万 能 的 ， 只 限于 一 两 个 字母 路 径 打 错 ， 系 统 就 会 自动 调整 ， 其 实 系统 也 是 根据 
输入 的 路 径 与 相应 的 目录 比 对 ， 然 后 修正 ， 例 如 ， 要 到 etc 目 录 却 打 成 ect， 就 会 出 现 找 不 到 目 


录 的 情况 。 


[root@localhost ~]# cd /ect 


-bash: cd: /ect: No such file or directory 


修改 .bashrc 配 置 文件 


在 用 户 目录 下 修改 .bashrc 配 置 文件 ， 在 最 后 一 行 添加 shopt-s cdspell， 修 改 完 后 保存 退出 ， 


此 配置 必须 重新 登录 才 会 生效 。 


[rootelocalhost ]# vi -/.bashrc 
# .bashrc 


# User specific aliases and functions 
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第 44 章 
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一 
alias rm='rm -i' 
alias cp='cp -i' 
alias mv='mv -i' 


# Source global definitions 
if [ -f /etc/bashrc ]; then 
. /etc/bashrc 
Ti 
shopt -s cdspell // 在 最 后 一 行 添加 


EA 


如 果 要 其 他 用 户 也 有 这 样 的 功能 ， 则 必须 编辑 /etc/bashre， 输 入 【 vi /etc/bashrc b 


测试 


要 进入 etc 目 录 ， 故 意 输 入 成 ect， 检 查 系统 是 否 会 自动 调整 为 etc。 


[root@localhost ~]# cd /ect 
/etc 
[root@localhost etc]# 


E 


如 果 输 入 错误 字符 过 多 ， 系 统 是 无 法 修正 的 。 


4.4 设置 开机 等 待 时 间 


CentOS 6.x 操 作 系统 每 次 开机 时 ， 都 会 有 系统 等 待 时 间 ， 此 选项 最 常用 到 的 地 方 就 是 修改 
密码 ， 如 果 不 需 要 修改 密码 的 话 ， 通 常 希望 快速 进入 系统 。 为 了 快速 进入 操作 系统 ， 可 以 修改 
系统 等 待 时 间 o 


Press any key to enter the menu 


Booting CentOS (2.5.32-71.e16.x88 64) in 2 seconds... 


机 等 待 时间 默 认为 5 秒 ， 将 之 设 为 0 秒 ， 保 存 后 重新 启动 服务 器 ， 就 会 迅速 跳 过 开机 选项 
进入 系统 ， 不 过 建议 设 为 ] 秒 ， 这 样 忘记 密码 时 ， 可 以 及 时 按 下 重新 设置 密码 的 选项 。 
[root@localhost /]# vi /boot/grub/menu.lst 


# grub .conf generated by anaconda 
# 


# Note that you do not have to rerun grub after making changes to this file 
# NOTICE: You have a /boot partition. This means that 
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# all kernel and initrd paths are relative to /boot/, eg. 

Ei root (hd0,0) 

# kernel /vmlinuz-version ro root-/dev/mapper/VolGroup-lv root 
# initrd /initrd-[generic-] version. img 

#boot=/dev/sda 

default=0 

timeout=5 // 设 置 开 机 选项 秒 数 ， 默 认为 5 秒 。 
splashimage= (hd0,0) /grub/splash.xpm.gz 

hiddenmenu 


title CentOS (2.6.32-71.e16 .x86 64) 

root (hd0,0) 

kernel /vmlinuz-2.6.32-71.e16.x86 64 ro root-/dev/mapper/VolGroup-lv root 
rd LVM LV-VolGroup/lv root rd LVM LV-VolGroup/lv swap rd NO LUKS rd NO MD rd NO DM 
LANG-en US.UTF-8 SYSFONT-latarcyrheb-suni6 KEYBOARDTYPE-pc KEYTABLE-us crashkernel-auto 
rhgb quiet 

initrd /initramfs-2.6.32-71.e16.x86 64.img 


45 自动 注销 登录 账户 


系统 使 用 完 后 , 正确 的 习惯 是 要 退出 或 锁定 , Windows 及 Linux 操 作 系统 都 是 如 此 Windows 
是 锁定 账号 ，Linux 必 须 输入 命令 才 会 退出 ， 不 过 这 个 操作 很 多 使 用 者 都 会 忘记 ， 所 以 必须 设 
置 系统 空闲 时 间 过 长 ， 就 会 自动 退出 。 

编辑 /etc/profile， 设 置 系统 在 空 闪 时 间 超 过 30 秒 后 ， 自 动 退 出 ， 保 存 设置 后 ， 此 设置 在 下 
-次 登录 时 才 会 生效 ， 无 需 重新 启动 。 
[root@localhost /]# vi /etc/profile 
export TMOUT-30 // 在 最 后 一 行 添加 ， 默 认 没有 此 行 


单位 为 秒 ， 注 意 字 母 有 大 小 写 之 分 ， 输 入 错误 就 不 会 生效 。 此 功能 支持 远程 连接 了 


有 些 远程 连接 工具 版 本 也 会 使 用 此 设置 ， 所 以 也 会 自动 退出 。 


4.6 解决 (Choose a Tool) 工具 界面 乱码 


文本 模式 设置 工具 (Choosea Tool) 是 一 个 方便 的 设置 工具 ， 虽 然 功能 有 限 ， 但 是 常用 的 
工具 一 样 都 不 少 如 Firewall Network System services 等 ， 不 过 使 用 PuTTY 连 接 工 具 输 入 setup 
进入 时 ， 界 面 会 出 现 乱码 ， 本 机 使 用 不 会 有 这 种 情况 ， 此 环境 默认 语言 为 英文 。 

其 实 这 种 问题 有 几 种 解决 方式 ， 但 是 都 不 能 完全 解决 问题 ， 可 根据 需求 情况 进行 不 同 的 设 
置 。 
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Network configuration 
System services 


Metediedetetiese sede sesier 


Fie 


在 PuTTY 下 输入 【LANG=us】 或 【LANG=cn】， 但 重新 开启 PuTTY 就 要 输入 一 次 。 


[rootGlocalhost /]# LANG-us 


Authentication conf. x ration 
letvork configuration 


Systen services 


再 次 开启 检查 Choose a Tool， 看 看 是 否 有 变化 。 


无 法 使 用 Firewall configuration 


方法 二 


使 用 PuTTY 工 具 在 Translation 选 项 中 选择 UTF-8。 


Category: 
E Session 上 Options controling character set translation 
To | Character set translation on received data 
Te Received data assumed to be in which character set: 
Bell jurrs E: 
ci Winden ^^ — [Adest how PuTTY handles ine drawing characters — | 
Appearance | Handling of ine drawing characters: 
b © Use Unicode ine drawing code points 
inane (C Poor man's line drawing (+. - and I 
Translation | FonthasXwindows encoding 
ion Use font in both ANSI and OEM modes 
hg C Use font in OEM mode only 
a T^ Copy and paste ine drawing characters as laaak 
Telnet (- Enable character set translation on input data: 
E Don T Caps Lock acts as Cyrillic switch 
Auth 
Tunnels 
Bugs 
Lom (Sams) Enn 
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再 次 开启 PuTTY 远 程 连接 工具 使 用 Choose a Tool， 看 看 是 否 有 变化 。 


lqqqqqqqqu Choose a Tool tqqqqqaqaaak 


irewall configuration 
Network configuration 
System services 


优点 所 有 功能 不 受 限制 
缺点 登录 时 要 设置 ， 界 面 有 乱码 


FEE 


编辑 系统 默认 使 用 语言 的 配置 文件 /etc/sysconfig/il8n， 在 配置 文件 中 加 入 en_US.Big5 和 
zh_CN.UTF-8 字 符 集 的 结果 是 不 一 样 的 ， 以 下 是 加 入 两 种 字符 集 的 示例 ， 这 种 设置 方式 要 重新 
启动 才 会 生效 。 编 辑 i18n 加 入 en_US.Big5。 


[root@localhost ~]# vi /etc/sysconfig/i18n 
LANG-"en US.UTF-8" 


LANG-"en US.Big5" // 加 上 en Us.Bigs 字符 集 
SYSFONT="latarcyrheb-sunl6" 


加 上 LANG="en_US.Big5" 登 录 时 会 出 现 错误 信息 ， 但 是 可 以 正常 使 用 。 


login as: root 

root@192.168.233.229's password: ***x«x**x* 

Last login: Wed Aug 24 23:01:53 CST 2012 from 192.168.9.69 

check system 

-bash: warning: setlocale: LC CTYPE: cannot change locale (en US.Big5) : No such file or 
directory 

-bash: warning: setlocale: LC COLLATE: cannot change locale (en US.Big5) : No such file 
or directory 

-bash: warning: setlocale: LC MESSAGES: cannot change locale (en US.Big5) : No such file 
or directory 


-bash: warning: setlocale: LC NUMERIC: cannot change locale (en US.Big5) : No such file 
or directory 


再 次 开启 使 用 Choose a Tool 工 具 ， 看 看 是 否 有 变化 。 
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Choose a Tool 


Authentication dde 


Network configuration 
Systen services 


优点 界面 整洁 | 
缺点 无 法 使 用 Firewall configuration | 


下 面 编辑 i18n 加 入 zh_CN.UTF-8 


[root@localhost ~]# vi /etc/sysconfig/ii8n 

LANG-"en US.UTF-8" 

LANG-"zh CN.UTF-8" // 加 上 zh. cN.UTF-8 字符 集会 变 成 简体 中 文 
SYSFONT="latarcyrheb-sunl6" 


再 次 开启 Choose a Tool 工 具 ， 看 看 是 否 有 变化 。 


Peete ae 
原本 英文 字符 集 就 会 变 成 中 文字 符 集 


在 上 述 方式 中 选择 其 一 设置 后 ， 再 次 开启 文本 模式 设置 《Choose a Tool) 工具 ， 界 面 就 会 


正常 显示 。 三 种 方式 各 有 优 缺 点 ， 请 根据 需求 选择 。 


4.7 查询 Linux 内 核 与 发 行 版 信息 


如 何 查询 Linux 内 核 信息 及 发 行 版 信息 是 很 重要 的 ， 这 是 因为 软件 安装 时 要 


区 分 1386 的 32 


位 平台 和 x86_64 的 64 位 平台 ， 所 以 一 定 要 掌握 相关 信息 ， 其 实 不 只 是 单纯 要 知道 操作 系统 版 


本 ， 还 有 很 多 信息 是 有 意义 的 。 
若 要 查询 Linux 内 核 信 息 ， 利 用 uname 命 令 可 以 看 到 最 完整 的 内 核 信息 。 


[rootelocalhost ~]# uname -a 
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Linux localhost.localdomain 2.6.32-71.e16.X86 64 #1 SMP Fri May 20 03:51:51 BST 2011 x86 64 
x86 64 x86 64 GNU/Linux 


参数 不 一 样 可 以 查询 到 的 信息 就 不 一 样 ， 可 按 需 求 查询 。 


参数 说 明 

a 输出 所 有 信息 

S 显示 内 核 名 称 (Linux) 

n 显示 完整 主机 名 称 (localhost.localdomain) 
8 显示 内 核 版 本 〈2.6.32-71.el16.x86 64) 
v 

m 


显示 内 核发 行 日 期 (#1 SMP Fri May 20 03:51:51 BST 2011) 
显示 机 器 硬件 类 型 (x86_64) 


- 显示 处 理 器 类 型 (x86_64) 
-i 显示 硬件 平台 类 型 (x86_64) 
-0 显示 操作 系统 CGNU/Linux) 


0 
内 核 =kernel 


查询 发 行 版 信息 ， 主 要 是 查看 当前 操作 系统 类 型 版 本 。 


[root@localhost ~]# cat /etc/*-release 
CentOS Linux release 6.0 (Final) 


Red Hat 系 列 查 询 发 行 版 信息 使 用 以 下 命令 。 
[root@localhost ~]# cat /etc/redhat-release 
CentOS Linux release 6.0 (Final) 

其 他 方式 查询 发 行 版 信息 ， 与 uname 命 令 类 似 。 


[root@localhost ~]# cat /proc/version 
Linux version 2.6.32-71.e16.x86 64(mockbuildGcéb6.centos.org) (gcc version 4.4.4 20100726 
(Red Hat 4.4.4-13) (GCC) ) #1 SMP Fri May 20 03:51:51 BST 2011 


4.8 查询 操作 系统 应 用 平台 (32 位 或 64 位 ) 


查询 Linux 操 作 系统 应 用 平台 是 非常 重要 的 ， 以 免 在 使 用 rpm 方式 安装 软件 时 ， 才 发 现 软件 
版 本 不 符合 系统 应 用 平台 ， 大 多 数 人 都 知道 使 用 uname 命 令 去 查询 ， 但 是 看 起 来 眼花 练 乱 ， 如 
何 使 用 最 简单 的 方式 查询 呢 ? 以 下 示例 能 够 识别 32 位 或 64 位 的 操作 系统 。 

在 64 位 应 用 平台 使 用 uname 命 令 查询 ， 再 使 用 getconf 命 令 查询 64 位 操作 系统 ， 进 行 对 比 看 


是 否 一 样 。 


[rootelocalhost ~]# uname -a 
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Linux localhost.localdomain 2.6.32-71.e16.x86 64 #1 SMP Fri May 20 03:51:51 BST 2011 x86 64 
x86 64 x86 64 GNU/Linux 

[root@localhost /]# getconf LONG BIT 

64 // 显 示 为 64 位 


在 32 位 应 用 平台 使 用 uname 命 令 查询 ， 再 使 用 getconf 命 令 查询 32 位 操作 系统 ， 进 行 对 比 看 


[root@localhost ~]# uname -a 
Linux localhost .localdomain 2.6.9-5.ELsmp #1 SMP Wed Jan 5 19:30:39 EST 2005 i686 i686 1386 
GNU/Linux 
[root@localhost ~]# getconf LONG BIT 
32 // 显 示 为 32 位 


4.9 查看 文件 系统 类 型 


使 用 操作 系统 时 ， 首 先 要 知道 文件 系统 的 类 型 ， 如 Windows 就 有 NTFS、FAT32、FAT，Linux 
有 ext2、ext3 等 多 种 类 型 的 文件 系统 ， 使 用 CentOS 6.0 操 作 系统 时 文件 系统 类 型 默认 为 estd， 如 
何 查询 当前 文件 系统 类 型 呢 ? 有 以 下 两 种 方法 。 

第 一 种 方法 是 使 用 mount 命 令 ， 可 以 看 到 文件 系统 类 型 为 ext4 格 式 。 


[root@localhost ~]# mount 

/dev/mapper/VolGroup-lv root on / type ext4 (rw) // 分 区 显示 类 型 
proc on /proc type proc (rw) 

sysfs on /sys type sysfs (rw) 

devpts on /dev/pts type devpts (rw,gid-5,mode-620) 

tmpfs on /dev/shm type tmpfs (rw) 

/dev/sdal on /boot type ext4 (rw) // 分 区 显示 类 型 
none on /proc/sys/fs/binfmt misc type binfmt misc (rw) 

sunrpc on /var/lib/nfs/rpc pipefs type rpc pipefs (rw) 


第 二 种 方法 是 查看 fstab 表 ， 可 以 看 到 文件 系统 类 型 为 ext4 格 式 。 


[root@localhost ~]# vi /etc/fstab 

# 

# /etc/fstab 

# Created by anaconda on Wed Aug 17 23:46:05 2011 

# 

# Accessible filesystems, by reference, are maintained under '/dev/disk' 

# See man pages fstab (5) , findfs (8) , mount (8) and/or blkid (8) for more info 
# 

/dev/mapper/VolGroup-lv root / ext4 defaults 1 1 // 分 区 显示 类 型 


UUID-b06a6ec6-23da-4905-b7bb-d93ca04aeffc /boot ext4 defaults s 
/dev/mapper/VolGroup-lv_swap swap swap defaults 00 
tmpfs /dev/shm tmpfs defaults 00 
devpts /dev/pts devpts gid-5,mode-620 0 0 
sysfs /sys sysfs defaults 00 
proc /proc proc defaults 00 


47 


CentOS 6.x 系统 管理 实战 宝典 


目前 CentOS 操 作 系统 的 最 新 文件 系统 类 型 为 exM，CentOS 6.0 以 前 的 操作 系统 要 使 用 ext4 
文件 系统 类 型 需要 手动 转换 ，CentOS 5 以 前 的 操作 系统 文件 类 型 默认 为 ext3 。 


4.10 删除 操作 历史 命令 


CentOS 操 作 系统 在 使 用 命令 操作 时 ， 系 统 默认 会 记录 使 用 过 的 操作 命令 ， 在 实际 的 系统 
管理 中 , 尽量 不 要 保留 这 些 操 作 命令 历史 , 将 所 有 操作 命令 历史 删除 , 这 样 系统 才 有 安全 保障 。 
使 用 History 命 令 可 以 查看 所 使 用 过 的 操作 命令 。 


[root@localhost ~]# history |more  // 加 上 more 可 以 一 段 一 段 地 显示 
1 setup 

LANG-CN 

setup 

clear 

yum install httpd 

vi /etc/sysconfig/iptables 


om s 0 IS 


要 删除 以 前 所 使 用 过 的 操作 命令 ， 只 要 加 上 参数 -c， 就 可 以 删除 这 些 历史 命令 了 。 
[root@localhost ~]# history -c 

删除 历史 命令 后 ， 要 重新 启动 才 会 生效 ， 在 未 重新 启动 前 命令 写 在 buffer 中 ， 可 以 输入 
[history -w】， 这 样 就 可 以 完全 删除 所 使 用 过 的 命令 了 。 

建议 将 操作 系统 命令 记录 的 数量 减少 ，HISTSIZE 默 认为 1000 行 ， 如 果 操 作 过 的 命令 都 不 
想 记录 ， 可 以 改 成 0， 然 后 重新 启动 ， 这 样 操作 命令 就 不 会 被 记录 下 来 。 


[root@localhost ~]# vi /etc/profile 
HOSTNAME=~/bin/hostname 2»/dev/null^ 
HISTSIZE-1000 // 默 认 1000， 设 为 0 则 不 会 做 记录 


4.11 设置 服务 默认 启动 或 关闭 

因为 很 多 系统 服务 默认 系统 启动 时 不 自动 启动 ,每 次 开机 后 都 要 使 用 的 服务 ， 必 须 设置 为 
默认 启动 ， 有 些 没有 用 到 的 服务 则 可 以 关闭 ， 设 置 服务 默认 启动 或 关闭 有 图 形 和 命令 两 种 方 
式 ， 建 议 使 用 命令 方式 去 设置 ， 有 些 服务 是 无 法 在 图 形 工具 中 进行 设置 的 。 
图 形 界面 设置 


先 介绍 如 何 使 用 图 形 界 面 进行 设置 ， 输 入 【ntsysv】 命 令 启动 Services 选 项 ， 使 用 tab 及 空 
格 键 进行 选择 和 修改 。 
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What services sl matically started? 


令 界 面 设置 


- 般 来 说 最 常见 的 设置 服务 默认 启动 或 默认 关闭 的 方法 是 命令 方式 ， 常 用 命令 是 
chkconfig， 该 命令 主要 是 检查 、 设 定 系统 各 服务 的 运行 级 别 和 运行 状态 ， 下 面 以 httpd 服 务 为 
例 进 行 介绍 ，httpd 为 Apache 服 务 。 


[root@localhost ~]# chkconfig httpd on // 将 httpd 服务 设 为 默认 启动 
[root@localhost ~]# chkconfig --list httpd // 查 看 httpd fi} level 状态 
httpd 0:0of£ 1:0off 2:00 3:on 4:on 5:on 6:0ff 
[root@localhost ~]# chkconfig httpd off / [t httpà 服务 设 为 默认 关闭 
[root@localhost ~]# chkconfig --list httpd // 查 看 httpd fi} level 状态 
httpd O:off  1:off  2:off  3:off  A4:off  5:off 6:off 


以 上 的 方式 较 常 见 ， 不 过 在 特殊 环境 下 会 设置 不 同 的 level 启 动 。 下 表 是 chkconfig 命 令 的 完 
整 说 明 。On 表 示 启 动 ，off 表 示 关 闭 。 


$4 说 明 
chkconfig --add 服务 名 称 增加 指定 的 服务 
| chkconfig --del 服务 名 称 删除 指定 的 服务 | 


| chkconfig --level 0~6 服务 名 称 on/off 设置 服务 Level 启动 /关闭 | 


下 表 为 chkconfig 命令 显示 单个 服务 的 运行 状态 ， 默 认 level 2、3、4、5 为 on， 其 他 leve] 为 
off. 


Level 0 1 2 3 4 5 6 


on/off off off on on on on | off | 


下 表 说 明 每 个 Level 所 代表 的 意义 。 
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说 明 


Level 


单 用 户 模式 


多 用 户 命令 


行 模式 ， 没 有 网 络 功能 


3 多 用 户 命令 行 模式 ， 有 网 络 功能 
保留 | 
5 带 图 形 界 面 的 多 用 户 模式 | 
6 重新 启动 | 


若 要 将 httpd 的 Level 设 为 0~6 都 启动 ， 先 查看 httpd 当 前 的 Level 设 置 状 态 。 


[root@localhost ~]# chkconfig --list httpd 
httpd OSOLE ies ZOLEE ofa} eye 


4:off S5:off 6:off 


使 用 level 参 数 来 设置 不 同 的 level， 先 要 将 http 的 level 都 开启 然后 都 关闭 。 


[root@localhost ~]# chkconfig --level 0123456 h 
[root@localhost ~]# chkconfig --list httpd 
httpd 0:on 1:on 2:on 3:on 
[root@localhost ~]# chkconfig --level 0123456 hi 
[root@localhost ~]# chkconfig --list httpd 
httpd OoEE TOLE 9 2:0FE 3:0ff 


4.12 自动 开启 数字 键盘 


ttpd on // 全 部 都 开启 
// 检 查 nttpd 目前 level 状态 
4:on 5:on 6:on 

ttpd off // 全 部 都 关闭 
// 检 查 httpd 目前 level 状态 
4:off 5:off 6:off 


Windows 开机 后 Numlock 灯 是 亮 着 的 ， 使 用 数字 键 输入 数字 比较 方便 ， 所 以 通常 都 希望 开 
机 时 就 开启 数字 键盘 ， 如 果 希 望 CentOS 操 作 系统 开启 后 Num Lock 灯 也 亮 着 ， 需 要 编辑 


/ete/rc .local 文件 ， 并 设置 参数 ， 保 存 退出 后 ， 需 要 寻 


新 启动 设置 才 会 生效 ， 然 后 检查 系统 开机 


后 Numlock 灯 是 否 亮 着 。 


p 
[root@localhost ~]# vi /etc/rc.local 
#!/bin/sh 
# 
# This script will be executed *after* all the 
# You can put your own initialization stuff in 
# want to do the full Sys V style init stuff. 


touch /var/lock/subsys/local 

INITTY=/dev/tty [1-8] 

for tty in $INITTY; do 
setleds -D «num « $tty 

done 


如 果 不 想 手工 输入 ， 可 以 输入 man setleds 查 询 ， 


other init Scripts. 
here if you don't 


// 依 序 输入 以 下 4 行 ， 注 意 有 大 小 写 之 分 


约 按 一 次 page down 就 可 以 看 到 这 些 文字 ， 


将 它们 复制 到 /etc/rc.local 文 件 最 后 ， 这 样 输入 一 般 不 会 出 错 。 


[rootelocalhost ~]# man setleds 


50 


(without further arguments) will restore the situation in which 
the leds reflect the VT flags. 


One might use setleds in /etc/rc to define the initial and default 
State of NumLock, e.g. by 
INITTY=/dev/tty [1-8] 
for tty in $INITTY; do 
setleds -D «num < $tty 
done 


4.13 CP 命令 不 询问 强制 复制 


cp 命令 要 强制 复制 就 可 加 上 - 吉 -i， 不 过 都 会 出 现 询 问 窗口 ， 这 样 就 有 点 不 方便 。 


[root@localhost ~]# cp -i install.log /install.log 
Cp: overwrite ^/install.log'? y 
[root@localhost ~]# 


其 实 有 很 多 方式 ， 不 过 有 些 版 本 不 适用 ， 只 有 在 cp 前 面 加 一 个 “\”， 这 种 方式 是 目前 最 
常用 的 ， 可 以 实现 不 询问 强制 复制 ， 下 面 将 install.log 复 制 到 根 目 录 的 install.log， 看 看 是 否 需 要 
询问 。 


[root@localhost ~]# \cp install.log /install.log 


4.14 关闭 Ctrl+Alt+Del 快 捷 键 防止 重新 启动 


CentOS 操 作 系统 只 要 按 下 Ctrl+AlttDel 快 捷 键 ， 系 统 就 会 自动 重新 启动 。 如 果 数据 正在 写 
入 ， 无意 间 按 下 Ctrl+AlttDel 快 捷 键 ， 不 会 有 任何 确认 ， 系 统 就 会 直接 重新 启动 ， 这 样 会 造成 
很 多 麻烦 ， 所 以 要 关闭 Ctrl+AlttDel 快 捷 键 ， 以 防 系 统 重新 启动 。 


CentOS 5.x 关 闭 方 式 


要 将 Ctrl+Altt+Del 快 捷 键 关闭 ， 需 要 编辑 /etc/inittab 文 件 ， 编 辑 完成 后 ， 必 须 重新 启动 ， 此 
后 不 管 怎样 按 Ctl+Altt+Del 快 捷 键 系统 都 不 会 重新 启动 了 。 
[root@localhost ~]# vi /etc/inittab 


# Trap CTRL-ALT-DELETE 
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now // 默 认 启 用 ， 加 上 # 号 关闭 


CentOS 6.x 关 闭 方式 


按照 前 面 的 方式 会 找 不 到 设置 ， 但 是 可 以 设置 其 配置 文件 。 
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[root@localhost ~]# vi /etc/inittab 
# inittab is only used by upstart for the default runlevel. 
# 
# ADDING OTHER CONFIGURATION HERE WILL HAVE NO EFFECT ON YOUR SYSTEM. 
# 
# System initialization is started by /etc/init/rcS.conf 
# 
# Individual runlevels are started by /etc/init/rc.conf 
# 
# Ctrl-Alt-Delete is handled by /etc/init/control-alt-delete.conf 
// 由 此 行 得 知 关闭 Ctr1-Alt-Delete 快捷 键 ， 需 修改 control-alt-delete 配置 文件 


Control-alt-delete.conf 文 件 只 有 CentOS 6.0 才 有 ，CentOS 5.x 无 法 依 此 设置 。 


[root@localhost ~]# vi /etc/init/control-alt-delete.conf 

# control-alt-delete - emergency keypress handling 

# 

# This task is run whenever the Control-Alt-Delete key combination is 
# pressed. Usually used to shut down the machine. 

start on control-alt-delete 


#exec /sbin/shutdown -r now "Control-Alt-Delete pressed"  // 默 认 启 用 ， 加 上 # 号 关闭 


4.15 更 改 默认 登录 模式 


在 CentOS 6.x 操 作 系统 以 前 , 只 要 有 安装 图 形 界面 , 默认 登录 方式 就 是 图 形 界 面 , 在 CentOS 
6.x 以 后 ， 如 果 是 安装 Basic Server， 那 么 就 没有 图 形 界面 ， 在 /etc/inittab 中 查看 目前 开机 模式 数 
字 一 定 是 3， 请 根据 实际 需求 设置 并 确认 是 否 已 安装 图 形 界面 ， 如 果 没 有 安装 ， 就 算 将 数值 设 
成 5， 开 机 也 不 会 进入 图 形 界面 。 


[root@localhost ~]# vi /etc/inittab 
# inittab is only used by upstart for the default runlevel. 
# ADDING OTHER CONFIGURATION HERE WILL HAVE NO EFFECT ON YOUR SYSTEM. 
# System initialization is started by /etc/init/rcS.conf 
Individual runlevels are started by /etc/init/rc.conf 
Ctrl-Alt-Delete is handled by /etc/init/control-alt-delete.conf 
Terminal gettys are handled by /etc/init/tty.conf and /etc/init/serial.conf, 
with configuration in /etc/sysconfig/init. 
For information on how to write upstart event handlers, or how 
upstart works, see init (5) , init (8) , and initctl (8) . 
Default runlevel. The runlevels used are: 
0 - halt (Do NOT set initdefault to this) 
1 - Single user mode 
- Multiuser, without NFS (The same as 3, if you do not have networking) 
- Full multiuser mode 
- unused 
- X11 
6 - reboot (Do NOT set initdefault to this) 
id:3:initdefault: — // 默 认为 3 文本 模式 ， 图 形 界面 为 5 


dE db db dE db db db db dE dE db db dE db 
oP UON 
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下 表 说 明了 各 个 代号 所 代表 的 意义 。 
代号 说 明 
0 Halt: 关机 
1 单 用 户 模式 〈 如 果 忘 记 root 密码 ， 这 是 补救 的 方式 之 一 ) 
2 多 用 户 模式 ， 没 有 网 络 功能 ， 不 支持 NFS 功能 
3 多 用 户 模式 ， 有 网 络 功能 ， 支 持 NFS 功能 
4 
5 
6 


| unused: 这 个 run-level 目前 尚未 定义 使 用 
| x11: 启动 X Windows， 窗 口 界面 
| Reboot: 重新 启动 


4.16 关闭 SELinux 方 式 


SELinux ( Security-Enhanced Linux) 是 Linux 的 一 种 强制 访问 控制 (mandatory access control) 
体系 。 它 的 做 法 是 以 最 小 权限 原则 Cprinciple of least privilege) 为 基础 ， 在 Linux 内 核 中 使 用 
Linux 安 全 模块 (Linux Security Modules)。 它 并 非 Linux 发 行 版 ， 而 是 一 组 可 以 使 用 在 类 Unix 
操作 系统 (如 Linux、BSD 等 ) 中 的 设置 。 

SELinux 已 经 被 整合 到 2.6 版 本 的 Linux 内 核 之 中 ， 独 立 的 修补 程序 也 已 经 不 需要 了 。 其 关 
闭 方式 共有 4 种 ， 请 根据 需求 进行 设置 。 

[rootGlocalhost ~]# getenforce // 查 看 SELinux 运行 状态 
Enforcing //Enforcing 为 开启 ，disabled 为 关闭 


JN 


此 方式 适用 于 CentOS 5x 以 前 的 版 本 ，CentOS 6x 之 后 这 种 方式 就 不 再 使 用 了 ， 输 入 
【system-config-securitylevel】， 将 SELinux 选 为 Disabed， 然 后 按 【OK]】 退 出 界面 。 


A firewall protects against unauthorized 


network intrusions. Enabling a firewall blocks 
all incoming connections. Disabling a firewall 
allows all connect:ons and is not recommended. 


Security Level: EGE [和 IF 


SELinux: Enforcing 
Permissive 


JNE 


编辑 SELinux 配 置 文件 ， 将 SELinux 设 为 disabled， 则 关闭 了 SELinux。 
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[root@localhost ~]# vi /etc/sysconfig/selinux 


# This file controls the state of SELinux on the system. 
# SELINUX- can take one of these three values: 


# enforcing - SELinux security policy is enforced. 
# permissive - SELinux prints warnings instead of enforcing. 
# disabled - No SELinux policy is loaded. 


SELINUX-disabled //#kii enforcing XFJH, disabled 为 关闭 
# SELINUXTYPE= can take one of these two values: 

# targeted - Targeted processes are protected, 

# mls - Multi Level Security protection. 
SELINUXTYPE=targeted 


JNS 


此 方式 要 安装 图 形 界 面 才 可 以 使 用 ,选择 【System】->【Administration】->【 Security Level 
AndFirewall], 在 【SELinux】 选 项 中 ,将 【SELinux Setting】 设 为 【Distabled】， 然 后 按 【OK]。 


Eig 
Ble Please choose the security level for the system 


Brewal Options | SELinux | 


SELinux Seting: [Disabled 


| vay || cance] Box 


方式 四 


使 用 setenforce 命 令 ， 只 能 实现 暂时 开启 或 关闭 的 功能 ， 输 入 【setenforce 0】 为 暂时 关闭 ， 
输入 【setenforce 1] 为 暂时 开启 。 如 果 要 更 完整 地 关闭 ， 建 议 修改 Linux 内 核 参 数 (Kemel 
Parameter)， 并 加 上 【selinux=0】， 如 果 要 开启 则 删除 【selinux=0】。 这 种 方式 不 是 每 种 Linux 
都 适用 。 

[rootGlocalhost ~]# vi /boot/grub/menu.lst 
# grub.conf generated by anaconda 
# 


# Note that you do not have to rerun grub after making changes to this file 
# NOTICE: You have a /boot partition. This means that 


# all kernel and initrd paths are relative to /boot/, eg. 

# root (hd0, 0) 

# kernel /vmlinuz-version ro root-/dev/mapper/VolGroup-lv root 
# initrd /initrd- [generic-]version.img 


#boot=/dev/sda 
default=0 
timeout=5 
splashimage= (hd0,0) /grub/splash.xpm.gz 
hiddenmenu 
title CentOS (2.6.32-71.e16 .x86 64) 

root (hd0,0) 

kernel /vmlinuz-2.6.32-71.e16.x86 64 ro root-/dev/mapper/VolGroup-lv root 
rd LVM LV-VolGroup/lv root rd LVM LV-VolGroup/lv swap rd NO LUKS rd NO MD rd NO DM 
LANG-en US.UTF-8 SYSFONT-latarcyrheb-suni6 KEYBOARDTYPE-pc KEYTABLE-us crashkernel-auto 
rhgb quiet selinux=0 // 加 上 selinux=0， 完 全 关闭 ， 开 启 则 删除 selinux=0 

initrd /initramfs-2.6.32-71.e16 .x86 64.img 


总 结 上 述 4 种 方式 ， 建 议 使 用 第 二 种 方式 ， 设 置 完 成 后 ， 必 须 重 新 启动 ， 这 样 所 做 的 设置 
才 会 完全 加 载 。 


重新 启动 后 ， 再 次 检查 SELinux 运行 状态 是 否 已 经 关闭 。 


[root@localhost ~]# getenforce 
Disabled 


4.17 解决 CentOS 简 体 中 文 乱 码 问 题 


安装 好 CentOS 操 作 系统 后 ， 如 果 默 认 安装 字符 集 为 en_US， 那 么 做 任何 操作 ， 信 息 显 示 都 
会 是 英文 ， 例 如 重新 启动 httpd 服 务 也 显示 英文 。 
[root@localhost ~]# service httpd restart 


Stopping httpd: ORs | 
Starting httpd: [ OK ] 


查看 目录 内 的 中 文 文件 也 会 显示 乱码 ， 所 以 必须 做 一 些 设置 让 系统 可 以 显示 中 文 。 


[root@localhost tmp]# 11 
total 276 
-rw-r--r-- 1 root root 279552 Jul 16 2009 ?t?H [?c?d??.ppt 


若 要 显示 简体 中 文 ， 需 要 编辑 i18n 文 件 ， 必 须 将 字符 集 改 成 zd_CN.UTF-8， 还 要 加 上 所 有 
支持 的 字符 集 ， 这 样 保存 后 ， 重 新 启动 系统 就 可 以 支持 简体 中 文 名 称 了 。 


[root@localhost ~]# vi /etc/sysconfig/i18n 

LANG-"zh CN.UTF-8" 

SUPPORTED-"zh CN.UTF-8:zh CN.GB2312:zh CN:zh:en US.UTF-8:en US:en" 
SYSFONT-"latarcyrheb-sunl6" 


再 次 查看 中 文 文件 ， 可 以 识别 简体 中 文 文件 名 。 


[root@localhost tmp]# 11 
总 计 276 
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-rw-r--r-- 1 root root 279552 2011-07-16 02:30 系统 架构 模板 .ppt 


看 看 重启 服务 操作 是 否 会 改变 ， 检 查 重新 启动 httpd 服 务 也 会 显示 简体 中 文 。 


[root@localhost ~]# service httpd restart 
正在 停止 httpd: [ 确定 ] 
正在 启动 httpd: [ 确定 ] 


不 过 在 文本 模式 可 以 显示 简体 中 文 后 ， 再 切换 X-Windows， 文 字 就 有 可 能 都 会 变 成 无 法 识 
别 的 方块 。 


@ cow) goons) a 0000) yy 0000(D) 


这 是 因为 虽然 将 字符 集 改 成 简体 中 文 ,但 是 系统 安装 时 没有 安装 简体 中 文 的 字体 ， 所 以 会 
无 法 显示 ， 就 像 Windows 系 统 没有 新 细 明 体 ， 也 会 出 现 这 样 的 情况 ， 所 以 必须 安装 简体 中 文字 
体 ， 输 入 【 yum install fonts-chinese 】， 进 行 安装 ， 建 议 也 安装 fonts-ISO8859-2 、 
fonts-ISO8859-2-100dpi. fonts-ISO8859-2-75dpi. 

CentOS 操 作 系 统 重新 启动 后 ，X-Windows 就 会 完全 显示 简体 中 文 ， 不 过 此 方式 只 适合 
CentOS 5.x. 


4.18 解决 32 位 CentOS 系 统 支持 大 内 存 


CentOS 操 作 系统 在 x86 的 硬件 平台 下 ， 内 存 通常 只 能 读 取 到 3GB 左 右 ，Windows XP 也 只 能 
读 取 3GB 多 , 最 新 的 Windows 7x86 也 刚刚 能 读 取 3GB, 其 他 版 本 的 Linux 系 统 也 是 一 样 , CentOS 
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x86 系 统 也 是 3GB， 目 前 服务 器 上 的 内 存 容 量 都 很 大 ， 很 容易 就 可 以 达到 3GB 以 上 ， 所 以 需要 
将 内 存 支持 度 再 扩大 ， 下 列 做 法 可 以 将 内 存 容量 超过 3GB 以 上 。 

检查 目前 内 存 容量 ，CentOS x86 系 统 安装 4GB 的 内 存 ， 在 系统 中 输入 【free -m】， 所 看 到 
的 内 存 容量 只 有 3GB (3034MB)， 必 须 更 新 内 核 才 可 以 支持 到 4GB。 


[root@localhost ~]# free -m 


total used free shared buffers cached 
Mem: 3034 218 2816 0 51 119 
-/* buffers/cache: 46 2987 
Swap: 2047 0 2047 


使 用 yum 在 线 更 新 ， 可 以 让 内 核 支 持 更 大 的 内 存 容量 ， 如 果 要 全 部 更 新 kernel 是 有 风险 的 ， 
有 可 能 无 法 开机 ， 建 议 不 要 更 新 全 部 的 kemel， 不 能 输入 【yum install kermel*】 这 样 的 命令 ， 
这 样 操作 无 法 开机 是 正常 的 ， 建 议 更 新 前 备份 数据 。 当 前 为 CentOS 5.6 i386 系 统 更 新 支持 大 内 
存 的 软件 为 kernel-PAE 2.6.18， 更 新 版 本 以 所 安装 的 系统 版 本 为 主 。 


[root@localhost ~]# yum install kernel-PAE 


Installing: 
kernel-PAE i686 2.6.18-274.3.1.e15 updates 18 M 
Transaction Summary 


编辑 配置 文件 ， 更 新 完 内 核 后 ， 编 辑 grub.conf。 默 认为 defult=1， 将 之 设 为 defult=0， 目 的 
是 让 kernelL-PAE 默 认 在 内 核 中 启动 。 


[root@localhost ~]# vi /boot/grub/grub.conf 

# grub.conf generated by anaconda 

# 

# Note that you do not have to rerun grub after making changes to this file 
# NOTICE: You have a /boot partition. This means that 


# all kernel and initrd paths are relative to /boot/, eg. 
Li root (hd0,0) 

# kernel /vmlinuz-version ro root=/dev/VolGroup00/LogVol00 
# initrd /initrd-version. img 


#boot=/dev/sda 
default=0 // 默 认为 defult=1 KA, 0 为 开启 
timeout=5 
splashimage= (hd0,0) /grub/splash.xpm.gz 
hiddenmenu 
title CentOS (2.6.18-274.3.1.e15PAE) 
root (hd0,0) 
kernel /vmlinuz-2.6.18-274.3.1.e15PAE ro root-/dev/VolGroup00/LogVol00 
initrd /initrd-2.6.18-274.3.1.e15PAE.img 
title CentOS (2.6.18-238.e15) 
root (hd0,0) 
kernel /vmlinuz-2.6.18-238.e15 ro root-/dev/VolGroup00/LogVol00 
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initrd /initrd-2.6.18-238.e15.img 


新 启动 操作 系统 才 会 生效 。 


上 由 


设置 完成 后 ， 


[root@localhost ~]# shutdown -r now 
Broadcast message from root (pts/0) (Thu Oct 6 19:45:53 2012) : 
The system is going down for reboot NOW! 


重新 启动 后 再 查看 系统 内 存 是 否 超过 4G， 输 入 【free -m]， 系 统 显示 超过 4G。 


[root@localhost ~]# free -m 


total used free shared buffers cached 
Mem: 5939 179 5759 0 13 119 
-/+ buffers/cache: 46 5892 
Swap: 2047 0 2047 


CentOS 6.x 操 作 系统 已 解除 PAE 限 制 ， 所 以 支持 4GB 以 上 的 内 存 。 不 过 ， 如 果 要 使 用 大 容 
量 内 存 ， 最 好 还 是 选择 x86_64 版 本 ， 系 统 功效 也 比 i386 好 。 
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Apache 一 一 网 站 服务 器 


Apache 网 站 服务 器 软件 官方 网 站 : http://httpd.apache.org/。 

Apache HTTP Server (简称 Apache) 是 Apache 软 件 基 金 会 开放 源 代 码 的 Web 服 务 器 软件 ， 
因为 可 以 在 大 多 数 操作 系统 上 运行 ， 且 可 以 跨 平 台 和 安全 性 比较 高 ， 所 以 被 广泛 使 用 ， 是 目前 
最 流行 的 Web 服 务 器 端 软 件 之 一 。 支持 的 网 页 语言 也 很 多 如 PHP、JSP 等 。Apache 目 前 为 Linux 
系统 默认 的 Web 服 务 器 软件 。 


5.1 安装 Apache 服 务 


安装 Apache 软 件 [yum 方 式 ] 


Apache 软 件 通常 会 以 yum 在 线 更 新 方式 进行 安装 ， 下 面 首 先 介绍 如 何 使 用 yum 在 线 更 新 方 
式 进行 安装 ， 后 面 会 介绍 如 何 使 用 源 代码 编译 方式 进行 安装 。 
[root@localhost ~]# yum install httpd -y 


Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 

httpd x86 64 2.2.15-5.e16.centos base 811 k 
Installing for dependencies: 

apr x86 64 13.973616 0:1 updates 124 k 
apr-util x86_64 1.3.9-3.816 0.1 updates 87 k 
apr-util-ldap x86_64 AID- a6 (eal updates 15 k 
httpd-tools x86 64 2.2.15-5.e16.centos base 68 k 


Transaction Summary 


Install 5 Package (s) 
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Upgrade 0 Package (s) 


Total download size: 1.1 M 
Installed size: 3.5 M 


配置 防火 墙 


Apache 服 务 默认 使 用 80 端 口 ， 为 了 使 Apache 服 务 能 够 对 外 正常 提供 服务 就 必须 在 防火 墙 
配置 中 开启 80 端 口 。 


[root@localhost ~]# vi /etc/sysconfig/iptables // 编 辑 iptables 
# Firewall configuration written by system-config-firewall 
# Manual customization of this file is not recommended. 
*filter 
:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0] 
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
/ Apache 端口 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 


防火 墙 配置 完成 后 ， 必 须 重新 启动 防火 墙 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: L OE l 
iptables: Setting chains to policy ACCEPT: filter DOR VT 
iptables: Unloading modules: | OK J 
iptables: Applying firewall rules: DOK 1 


启动 Apache 服 务 


Apache 配 置 完 成 后 ， 即 可 启动 服务 ， 并 将 Apache 服 务 配置 为 系统 默认 启动 。 


[root@localhost ~]# service httpd start 
Starting httpd: ow 
[root@localhost ~]# chkconfig httpd on 


CentOS 6x 以 前 版 本 安装 完 Apache 服 务 后 启动 不 会 出 现任 何 错误 信息 ，CentOS 6.x 启 动 时 
就 会 出 现 没 有 配置 ServerName 参 数 的 警告 信息 ， 但 不 影响 运行 。 


[root@localhost ~]# service httpd start // 没 有 配置 ServerName 启动 的 警告 信息 
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Starting httpd: httpd: Could not reliably determine the server's fully qualified domain 
name, using localhost.localdomain for ServerName [ OK ] 


Apache 命 令 说 明 


Apache 服 务 最 常用 的 命令 就 是 启动 、 关 闭 、 重 新 启动 ， 还 有 查看 目前 启动 状态 。 
命令 


命令 说 明 
service httpd start 启动 Apache 服务 
service httpd stop 关闭 Apache 服务 | 


查看 Apache 服务 运行 状态 


测试 范例 网 页 


在 浏览 器 中 输入 【http://IP 或 网 址 〗， 正 常 启动 的 Apache 默 认 网 页 如 下 图 所 示 ， 此 为 CentOS 
操作 系统 默认 Apache 网 页 。 


IMO MV FU RO O AV MY 


COLETE] 


Jos bees install Tf yon can end 
ast peopel. 


1f you are a senber of the general public: If you are the website administrator: 


acne 


About CentOS: 


5.2 配置 Apache 服 务 


Apache 配 置 文件 的 默认 路 径 为 : /etc/httpd/conf/httpd.conf， 这 个 路 径 是 以 yum 方 式 安装 的 ， 
如 果 以 源 代码 手动 编译 方式 安装 ， 路 径 则 可 以 指定 到 安装 目录 。 以 下 几 个 配置 是 较为 常见 的 ， 
有 关 完 整 的 说 明 请 参考 Apache 官 方 网 站 : http://httpd.apache.org/docs/2.2/mod/directives.html。 


名 i 


Apache 配 置 文 件 修改 过 后 都 需要 重新 启动 Apache 服 务 ， 否 则 配置 不 会 
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连接 时 间 
此 功能 是 指 如 果 连 接 空 闲 时 间 过 长 的 话 ， 会 中 断 连 接 ， 可 根据 情况 配置 。 


[root@localhost ~]# vi /etc/httpd/conf/httpd.conf // 编 辑 Apache 配置 文件 
Timeout 60 // 接 收 或 发 送 ， 当 持续 连接 等 待 超过 eo 秒 则 该 连接 就 中 断 


配置 字符 集 


网 页 字符 集 默 认 有 Big5 或 UTF-8， 请 根据 需求 配置 ， 另 外 建议 如 果 可 以 选择 网 页 编码 ， 尽 
量 选择 UTF-8。 


* Specify a default charset for all content served; this enables 
# interpretation of all content as UTF-8 by default. To use the 
# default browser choice (ISO-8859-1) , or to allow the META tags 
# in HTML content to override this choice, comment out this 

# directive: 

# 

AddDefaultCharset UTF-8 // 配 置 文件 默认 字符 集 编码 为 UTF- 8, 


配置 索引 页 面 


假设 网 站 的 索引 页 面 是 index.php， 如 果 只 是 输入 【http://IP 或 网 址 /])， 没 有 输入 【http://IP 
或 网 址 /index.php】， 是 不 能 正常 显示 index.php 内 容 的 ， 因 为 索引 页 面 默认 为 index.html、 
index.htmlvar， 建 议 修改 配置 文件 ， 添 加 index.php 并 将 它 放置 在 index.html 前 面 。CentOS 操 作 
系统 环境 下 index.php 已 默认 为 索引 页 面 。 
# DirectoryIndex: sets the file that Apache will serve if a directory 
# is requested. 
# 
# The index.html.var file (a type-map) is used to deliver content- 
# negotiated documents. The MultiViews Option can be used for the 
# same purpose, but it is much slower. 


# 
DirectoryIndex index.php index.htm index.html index.html.var // 默 认 索 引 页 面 


配置 网 页 主 目录 


DocumentRoot 参 数 是 网 页 存放 的 主 目录 ，CentOS 6.x 目 录 路 径 为 /Var/www/html， 此 路 径 为 
yum 方 式 安装 的 配置 ， 以 源 代码 编译 方式 安装 可 以 指定 目录 的 路 径 。 
# DocumentRoot: The directory out of which you will serve your 


# documents. By default, all requests are taken from this directory, but 
# symbolic links and aliases may be used to point to other locations. 


64 


Sox 
Apache 一 一 网 站 服务 器 


# 
DocumentRoot "/var/www/html" // 网 页 默认 存放 的 目录 


配置 连接 端口 


在 网 站 对 外 提供 访问 时 ， 使 用 的 端口 默认 为 80， 默 认 情 况 下 Apache 会 在 所 有 下 地 址 上 监 
听 。Listen 是 一 个 必须 设置 的 参数 。 如 果 修 改 指定 的 端口 ， 也 必须 将 防火 墙 的 端口 修改 。 


# Listen: Allows you to bind Apache to specific IP addresses and/or 

# ports, in addition to the default. See also the <VirtualHost> 

# directive. 

# 

# Change this to Listen on specific IP addresses as shown below to 

# prevent Apache from glomming onto all bound IP addresses (0.0.0.0) 

# 

#Listen 12.34.56.78:80 

Listen 80 //Bpache 监听 端口 


配置 ServerName 


ServerName 主 要 用 于 识别 主机 名 称 和 端口 ， 默 认 不 用 配置 ， 但 是 CentOS 6.x 必 须要 配置 ， 
如 果 和 暂时 不 知道 对 外 提供 服务 的 主机 名 称 ， 只 要 将 该 行 # 号 删除 即 可 。 


ServerName gives the name and port that the server uses to identify itself. 
This can often be determined automatically, but we recommend you specify 
it explicitly to prevent problems during startup. 


If this is not set to valid DNS name for your host, server-generated 
redirections will not work. See also the UseCanonicalName directive. 


If your host doesn't have a registered DNS name, enter its IP address here. 
You will have to access it by its address anyway, and this will make 
redirections work in a sensible way. 


dE dk dE db db dE db db db dE db 


ServerName www.example.com:80 // 默 认 不 使 用 # 号 ，CentOS 6.0 版 本 后 必须 要 配置 。 


配置 KeepAlive 传 输 请 求 


KeepAlive 传 输 请 求 在 Apache 配 置 文件 中 默认 为 关闭 ， 建 议 设 为 On。 比 如 在 同一 时 间 发 送 
多 个 连接 ，on 的 状态 下 可 以 使 用 一 个 TCP 发 送 ， 如 果 是 of 状态 下 ， 则 会 以 多 个 TCP 连 接 ， 影 响 
网 络 效 率 。 
# KeepAlive: Whether or not to allow persistent connections (more than 


# one request per connection) . Set to "Off" to deactivate. 
# 
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KeepAlive on // 此 配置 默认 为 off， 建 议 设 为 on 


配置 MaxKeepAliveRequests 连 接 数 


MaxKeepAliveRequests 在 Apache 配 置 文件 中 默认 为 100 个 连接 数 ， 该 参数 限制 了 当 启 用 
KeepAlive 时 ， 每 个 连接 允许 的 请 求 数量 ， 如 果 主 机 效率 不 错 建议 设 高 一 点 ， 不 过 尽量 不 要 超 
过 100 太 多 ， 连 接 数 过 多 也 会 降低 效率 。 设 为 0 的 话 ， 则 连接 数 就 不 受 限 制 ， 但 建议 不 要 这 样 配 
置 。 


# MaxKeepAliveRequests: The maximum number of requests to allow 

# during a persistent connection. Set to 0 to allow an unlimited amount. 
# We recommend you leave this number high, for maximum performance. 

# 

MaxKeepAliveRequests 100 


5.3 源 代码 安装 Apache 


Apache 网 站 服务 软件 官方 下 载 地 址 : http://httpd.apache.org/download.cgi. 

目前 Apache 都 是 以 rpm 包 或 yum 在 线 更 新 安装 ， 其 实 也 没 指定 用 什么 方法 安装 ， 不 过 发 现 
有 些 人 配置 环境 时 会 使 用 源 代码 编译 安装 ， 因 为 ppm 包 、yum 在 线 更 新 与 源 代码 编译 安装 的 路 
径 不 一 样 ， 所 以 初学 者 比较 不 容易 掌握 ， 毕 竟 灾 难 还 原 时 都 是 直接 将 文件 还 原 到 原 路 径 ， 如 果 
以 zpm 或 yum 安 装 , 那 在 还 原 数据 时 就 要 修改 路 径 , 所 以 学 会 怎样 进行 源 代码 安装 是 有 必要 的 。 


下 载 Apache 2.2 压 缩 文件 


使 用 wget 方 式 下 载 Apache 压 缩 文件 ， 或 下 载 后 使 用 WinSCP 工 具 上 传 压 缩 文 件 。 


[root@localhost ~]# wget http://mirror.bit.edu.cn/apache//httpd/httpd-2.2.22.tar.gz 
--2012-08-26 21:04:34-- http://mirror.bit.edu.cn/apache//httpd/httpd-2.2.22.tar.gz 
Resolving mirror.bit.edu.cn... 219.143.204.117 
Connecting to mirror.bit.edu.cn|219.143.204.117|:80... connected. 
HTTP request sent, awaiting response... 200 OK 
Length: 7200529 (6.9M) [application/octet-stream] 
Saving to: Dn 2.2.22.tar.gz.1' 

==: >] 7,200,529 245K/s in 43s 
2012-08-26 21:06:01 (163 KB/s) - "httpd-2.2.22.tar.gz"saved [7200529/7200529] 


: 


最 新 版 本 请 以 Apache 官 方 网 站 提供 的 信 
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编译 安装 Apache 2.2 


因 源 代码 包 一般 为 压缩 文件 ， 所 以 在 下 载 成 功 后 ， 需 先 把 Apache 压 缩 文 件 解压 缩 ， 然 后 
进行 编译 安装 Apache。 


[root@localhost ~]# tar -zxvf httpd-2.2.*.tar.gz // 解 压缩 文件 


-中 间 省 略 - 

[root@localhost ~]# cd httpd-* // 进 入 解压 缩 目 录 
[root@localhost httpd-2.2.22]#./configure // 检 查 安装 平台 是 否 支持 安装 
中间 省 略 .… 

[root@localhost httpd-2.2.22] #make // 根 据 安装 平台 进行 编译 

<- 中间 省 略 … 

[root@localhost httpd-2.2.22]#make install // 安 装 软件 

<- 中间 省 略 … 


如 果 使 用 源 代 码 编译 安装 ， 记 住 上 述 三 个 命令 ， 源 代码 文件 安装 方式 都 大 同 小 异 。 编 译 
时 若 出 现 C compiler found 错 误 ， 代 表 缺 少 gcc 软 件 ， 输 入 【 yum install gce 】 进 行 安 装 。 
configure: error: in ^/root/httpd-2.2.22/srclib/apr': 


configure: error: no acceptable C compiler found in $PATH 
See ^config.log' for more details. 
configure failed for srclib/apr 


配置 防火 墙 


使 用 Apache 服 务必 须 在 防火 墙 配置 中 开启 端口 80， 这 样 Apache 才 能 对 外 服务 。 


[root@localhost ~]# vi /etc/sysconfig/iptables // 编 辑 iptables 
# Firewall configuration written by system-config-firewall 
# Manual customization of this file is not recommended. 
*filter 
:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0] 
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
/ [Fi Apache 端口 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 


防火 墙 配 置 完成 后 ， 必 须 重新 启动 防火 墙 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 
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iptables: Flushing firewall rules: | 0K ] 
iptables: Setting chains to policy ACCEPT: filter [ OK ] 
iptables: Unloading modules: L R] 
iptables: Applying firewall rules: [ OK ] 


Apache apachectl 命 令 说 明 


下 面 是 Apache 最 常 使 用 的 命令 ， 这 些 命令 与 Yam 方式 安装 的 Apache 不 一 样 。 
操作 说 明 操作 方式 


启动 Apache /usr/local/apache2/bin/apachectl start 
停止 Apache /usr/local/apache2/bin/apachectl stop 
重新 启动 Apache /usr/local/apache2/bin/apachectl restart 


重新 启动 Apache， 原 有 连接 不 中 断 
显示 Apache 运行 状态 

显示 Apache 服务 器 完整 状态 
检查 Apache 配 置 文件 是 否 正 确 
显示 Apache 说 明 


/usr/local/apache2/bin/apachectl graceful 


/usr/local/apache2/bin/apachectl status 
/usr/local/apache2/bin/apachectl fullstatus 


Apache 目 录 说 明 〈 源 代码 编译 安装 ) 


以 源 代码 编译 安装 ， 默 认 路 径 是 /usrlocal， 相 关 目 录 说 明 请 参考 下 表 。 
Apache 2 目录 路 径 目录 说 明 


/usr/local/apache2/logs Apache 2 日 志 记 录 文 件 目录 
/usr/local/apache2/conf Apache 2 配置 文件 目录 


启动 Apache 


安装 完成 后 ， 接 下 来 就 是 启动 Apache 网 站 服务 器 。 


[root@localhost ~]# /usr/local/apache2/bin/apachectl start //Ja#) Apache 
[root@localhost ~]# /usr/local/apache2/bin/apachectl start 

// 再 启动 一 次 可 以 看 到 已 经 启动 
httpd (pid 16067) already running 


启动 时 出 现 ServerName 错 误 信 息 ， 表 示 需 要 配置 ServerName 才 可 以 正常 启动 。 


[root@localhost httpd-2.2.22]# /usr/local/apache2/bin/apachectl start 

httpd: Could not reliably determine the server's fully qualified domain name, using 
localhost.localdomain for ServerName 

[root@localhost ~]# vi /usr/local/apache2/conf/httpd.conf 

# 
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# ServerName gives the name and port that the server uses to identify itself. 
# This can often be determined automatically, but we recommend you specify 

# it explicitly to prevent problems during startup. 

# 

# If your host doesn't have a registered DNS name, enter its IP address here. 
# 


ServerName www.example.com: 80 // 将 读 行 前 # 出 除 后 ， 保 存 退 出 并 重新 启动 Apache 
测试 Apache 服 务 器 


在 浏览 器 中 输入 【http://IP 或 网 址 ]， 出 现 【IT WORKS!]， 如 下 图 所 示 ， 表 示 Apache 服 务 
启动 正常 。 


orilla Firetex 
VED MED FEV KEG) HSD IAD AMW 
€ Dema 


IT WORKS! 


5.4 支持 PHP 程 序 


PHP 的 应 用 范围 相当 广泛 ， 是 常见 的 HTML 内 柑 式 语言 ， 尤 其 是 在 Web 程 序 的 开发 上 。 
般 来 说 PHP 语 言 大 多 在 Web 服 务 器 (Apache) 上 执行 ， 通 过 执行 PHP 程 序 代码 来 产生 使 用 者 浏 
览 的 网 页 。PHP 语 言 可 以 在 多 数 的 服务 器 和 操作 系统 上 执行 ， 如 Windows、Linux 等 系统 ， 而 
且 PHP 完 全 是 免费 的 ， 因 此 受到 越 来 越 多 人 的 采用 ， 以 下 是 配置 Apache 以 支持 PHP 的 步骤 。 


检查 PHP 软 件 
检查 是 否 安装 了 PHP 软 件 ， 如 果 出 现 PHP 相 关 软 件 代 表 可 以 支持 PHP 网 页 ， 如 果 无 任何 软 
件 ， 代 表 尚 未 安装 PHP 软 件 ， 则 无 法 支持 PHP 网 页 。 
[root@localhost /]# rpm -qa | grep php // 检 查 PHP 软件 
php-5.3.3-6.e16 0.1.x86 64 


php-cli-5.3.3-6.e16 0.1.x86 64 
php-common-5.3.3-6.e16 0.1.x86 64 


安装 PHP 软 件 


如 果 没 有 安装 PHP 软 件 ， 那 就 要 自动 安装 了 。 安 装 PHP 软 件 的 方法 很 简单 ， 只 要 以 yum 在 
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线 更 新 的 方式 安装 即 可 。 


[root@localhost ~]# yum install php -y / | FUP 软件 安装 


Installing: 

php x86 64 5.3.3-6.e16 0.1 updates 1.1 M 
Installing for dependencies: 

php-cli x86 64 usse mu updates 2.2 M 
php-common x86 64 5.3.3-6-616 0.1 updates 516 k 


Transaction Summary 


Install 3 Package (s) 
Upgrade 0 Package (s) 


Total download size: 3.8 M 
Installed size: 13 M 


安装 完成 后 ， 必 须 重 新 启动 Apache 服 务 ，Apache 才 可 以 支持 PHP 语 法 〈 每 个 版 本 不 一 定 都 


需要 重新 启动 )。 

[root@localhost ~]# service httpd restart // 重 新 启动 Apache 
Stopping httpd: [ORT 
Starting httpd: [ox ] 
测试 PHP 代 码 


软件 PHP 安 装 确定 后 ， 在 Apache 网 页 目录 中 创建 一 个 PHP 范 例 网 页 mdex.php， 测 试 是 否 可 
以 正常 显示 PHP 信 息 ， 可 以 输入 PHP 查 询 状态 的 语法 。 
[root@localhost /]# vi /var/www/html/index.php // 在 Apache 默认 目录 下 创建 范例 网 页 
<?php 


phpinfo () ; 
?> 


[ er 
Yum 在 线 更 新 安装 Apache 的 网 页 默认 目录 为 /Var/www/html 


打开 浏览 器 ， 输 入 【http://IP 或 网 址 /index.php】， 下 图 表示 可 以 正常 显示 PHP 网 页 。 
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如 果 出 现下 图 ， 表示 不 能 支持 PHP 网 页 PHP 软 件 未 安装 ,请 重新 检查 PHP 是 否 已 正常 安装 。 


MAO REO FEV neo HEV IEO Who 
€ diga aisi pp e| olt 


php 
phpinfo(); 
» 


刚才 创建 的 PHP 页 面 是 查询 PHP 状 态 语 法 ， 显 示 全 部 的 PHP 信 息 ， 如 果 不 想 一 次 显示 多 个 
信息 ， 可 以 编辑 查询 页 面 的 参数 ， 修 改 刚才 创建 的 index.php， 可 以 选择 输入 名 称 或 参数 值 。 


PHP 状态 语法 


<?php 
phpinfo (INFO GENERAL) : 
?> 


<?php 
phpinfo (1) : 


?> 


Phpinfo 语法 参数 说 明 
查询 信息 

INFO GENERAL 配置 php.ini 位 置 、 创 建 日 期 、 服 务 器 信息 
INFO_CREDITS 开发 人 员 使 用 的 资料 
INFO CONFIGURATION 目前 PHP 命令 的 local 和 master 值 
INFO MODULES 加 载 的 模块 和 其 他 相应 的 配置 
INFO ENVIRONMENT 环境 变量 信息 
INFO LICENSE PHP 的 许可 协议 
INFO ALL S 显示 所 有 数据 〈 默 认 值 
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样 的 。 


开启 register_globals 


如 果 在 浏览 PHP 网 页 时 提示 输入 用 户 名 和 密码 ， 但 是 在 输入 用 户 名 和 密码 后 ,用 户 还 是 无 
法 登录 ， 登 录 界 面 又 回 到 输入 用 户 名 和 密码 的 页 面 ， 如 下 图 所 示 。 


原因 是 新 版 PHP 为 了 网 站 安全 性 考虑 ， 在 接收 网 页 传递 的 全 局 变量 时 把 register_globalse 参 
数 默认 设置 为 关闭 状态 ， 低 版 本 则 不 会 有 影响 ， 所 以 必须 将 register_globalse 改 成 On 〈 默 认为 
Off)， 这 样 就 不 会 发 生 无 法 登录 的 情形 。 

[root@localhost /]# Vi /etc/php.ini  // 编 辑 php 配置 文件 


register globals = On 


重新 启动 Apache 服 务 后 ， 再 次 输入 用 户 名 和 密码 ，PHP 网 页 就 不 会 提示 无 法 登录 了 。 


[root@localhost ~]# service httpd restart 


Stopping httpd: [ OK ] 
Starting httpd: [ OK ] 
PHP 支 持 图 形 验证 码 


所 谓 图 形 验证 码 就 是 一 张 图 片 里 有 数字 及 字母 ， 这 种 功能 通常 在 论坛 用 户 认证 登录 时 使 
用 ,图形 验 证 码 的 功能 是 防止 有 人 利用 程序 来 大 量 注册 用 户 , 或 者 是 发 广告 留言 等 ， 多 了 这 一 
层 防护 ， 可 以 减少 这 些 情况 的 发 生 ， 但 安装 此 功能 前 ， 必 须要 安装 所 需要 的 软件 php-gd。 


请 正确 给 入 上 图 片 中 显示 的 数字 或 字母 ， 不 区 分 大 小 写 ， 没 有 数字 [0] ,如果 你 不 能 正确 8 上 面 的 数字 或 字母 ， 
您 需要 重新 获取 图 片 信息 ， 请 按 【 重 新 获取 图 片 ) 


安装 完成 后 ， 建 议 重新 启动 Apache 服 务 ， 这 样 就 可 以 使 用 图 形 验 证 码 的 功能 


ot@localhost ~]# yum install -y php-gd  // gà 软件 
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Dependencies Resolved 


Installing: 

php-gd x86 64 5.3.2-6.el16 0.1 updates 103 k 
Installing for dependencies: 

libXpm x86_64 3.5.8-2.e16 base 59 k 


Transaction Summary 


Install 2 Package (s) 
Upgrade 0 Package (s) 


Total download size: 162 k 
Installed size: 446 k 


二 


5.5 phpSyslnfo 显示 系统 信息 


官方 网 站 : http://phpsysinfo.sourceforge.net/. 
phpSysInfo 是 一 个 能 够 显示 主机 系统 信息 的 PHP 程 序 ， 主 要 用 来 检测 主机 的 硬 设备 信息 ， 
包括 所 用 操作 系统 及 内 核 版 本 、 计 算 机 名 称 、 计 算 机 运行 时 间 、 网 卡 、 内 存 、 存 储 设 备 的 使 用 


情况 等 。 
安装 PHP 软 件 


phpSysInfo 3 版 本 需要 安装 Apache 及 php 5.2 版 本 以 上 的 软件 然后 需要 安装 支持 phpSysInfo 
的 应 用 软件 php-mbstring 及 php-xml， 下 面 检查 是 否 已 安装 相关 软件 。 
[root@localhost ~]# rpm -qa|grep php // 检 查 phpSysInfo 所 需 的 软件 
php-common-5.3.2-6.e16 0.1.x86 64 
php-cli-5.3.2-6.e16 0.1.x86 64 
php-xml-5.3.2-6.e16 0.1.x86 64 


php-mbstring-5.3.2-6.e16 0.1.x86 64 
php-5.3.2-6.e16 0.1.x86 64 


如 果 没有 安装 PHP 相 关 软件 ， 则 使 用 yum 在 线 更 新 方法 进行 安装 。 


[root@localhost ~]# yum install -y httpd php php-mbstring php-xml 


Dependencies Resolved 
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Installing: 
httpd x86 64 2.2.15-5.e16.centos base 811 k 
php x86 64 5.3.2-6.e16_ 0.1 updates 1.1M 
php-mbstring x86 64 5.3.2-6.e16_0.1 updates 504 k 
php-xml x86_64 5.3.2-6.e16_0.1 updates 100 k 

Installing for dependencies: 
apr x86_64 1.3.9-3.e16_0.1 updates 124 k 
apr-util x86_64 1.3.9-3.e16 0.1 updates 87 k 
apr-util-ldap x86 64 1.-3-9-3.616 0.1 updates 15 k 
httpd-tools x86_64 2.2.15-5.e16.centos base 68 k 
libxslt x86 64 1.1.26-2.616 base 450 k 
php-cli x86_64 5.3.2-6.e16 0.1 updates 2:2. 
php-common x86 64 5:3.2-6-616 0-1 updates 516 k 


Transaction Summary 


Install 11 Package (s) 
Upgrade 0 Package (s) 


Total download size: 5.9 M 
Installed size: 20 M 


安装 phpSyslnfo 


首先 进入 /var/www/html 网 页 主 目录 ， 下 载 phpsysinfo 文 件 ， 可 以 下 载 到 本 地 再 利用 WinSCP 
工具 上 传 到 网 页 主 目录 下 ， 也 可 以 在 服务 器 上 直接 使 用 wget 命 令 下 载 ， 下 载 完成 后 解压 缩 ， 然 
后 进入 phpsysinfo 目 录 ， 复 制 模板 配置 文件 config.php.new， 并 重 命名 为 config.php。 


[root@localhost ~]# cd /var/www/html // 进 入 网 页 主 目录 
[root@localhosthtml] #wget 
http://downloads.sourceforge.net/project/phpsysinfo/phpsysinfo/3.0.13/ 
phpsysinfo-3.0.13.tar.gz 
<- 中间 省 略 … 
[root@localhost html]# tar -zxvf phpsysinfo-*.tar.gz // 解 压缩 
中间 省 略 .… 
[root@localhost html]# cd phpsysinfo // 进 入 phpsysinfo 目录 
[root@localhost phpsysinfo]# cp config.php.new config.php 

// 复 制 phpsysinfo 配置 文件 


配置 完成 后 ， 重 新 启动 Apache 服 务 。 这 样 phpsysinfo 才 能 正常 使 用 。 


[root@localhost phpsysinfo]# service httpd start 
Starting httpd: | 1 


配置 防火 墙 
因为 phpSysInfo 是 以 Apache 网 页 方式 浏览 的 ， 所 以 必须 在 防火 墙 配 置 中 开启 80 端 口 。 


[root@localhost phpsysinfo]# vi /etc/sysconfig/iptables 
# Firewall configuration written by system-config-firewall 
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# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT  //Apache 端口 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


配置 完 防 火 墙 后 ， 必 须 重新 启动 防火 墙 ， 配 置 才 会 生效 。 


[root@localhost phpsysinfo]# service iptables restart 


iptables: Flushing firewall rules: DECOR 
iptables: Setting chains to policy ACCEPT: filter [ OK ] 

Unloading modules: E OR, | 
iptables: Applying firewall rules: COR | 


测试 phpSyslnfo 


打开 浏览 器 ， 输 入 【http://IP/phpsysinfo]， 如 下 图 所 示 ， 显 示 系 统 相 关 信息 。 


Mon 11 Ag 012 361 8 Ou 
o 


62001000 


jrg 


PhpSysInfo A E226. 可 以 在 Language 中 选择 自己 习惯 的 语言 系统 会 自动 切换 语言 
IHNEN: 


5.6 Apachex i$CGl 


Linux 系 统 常用 的 网 页 语言 除了 PHP 外 ， 还 有 CGI。 程 序 语 言 Perl 是 一 种 被 广泛 用 于 CGI 
(Common Gateway Interface) 的 语言 ， 除 Perl 外 ， 像 Unix shell scripts, Python, Ruby, PHP. 
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C/C++ 和 Visual Basic 都 可 以 用 来 编写 CGI。Apache 也 可 以 支持 使 用 CGI， 不 过 配置 是 关闭 的 ， 
必须 要 自行 开启 配置 。 


开启 Apache 对 CGI 的 支持 


编辑 Apache 配 管 文件 ， 册 除 支持 CG 选项 前 的 4 号， 并 在 最 后 加 上 以 便 可 以 支持 pI 文 件 。 
[root@localhost ~]# vi /etc/httpd/conf/httpd.conf 
# To use CGI scripts outside of ScriptAliased directories: 
# (You will also need to add "ExecCGI" to the "Options" directive.) 
# 
AddHandler cgi-script .cgi .pl  ”// 删 除 # 号 才 可 以 支持 cgi 
配置 完成 后 ， 重 新 启动 apache 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service httpd restart 


Stopping httpd: [ox 1 
Starting httpd: [ OK ] 
创建 CGI 测试 网 页 


CGI 文件 默认 放 在 /varwww/cgi-bin 目 录 下 ， 先 进入 该 目录 ， 创 建 一 个 支持 CGI 文件 的 范 

例 ， 文 件 名 称 为 hello.cgi， 创 建 完成 后 ， 将 文件 权限 修改 为 7355， 若 权限 不 修改 为 755 的 话 ，CGI 
会 无 法 执行 。 

[root@localhost ~]# cd /var/www/cgi-bin / EX cgi 网 页 目录 

[root@localhost cgi-bin]# vi hello.cgi WE T cgi 测试 网 页 

#!/usr/bin/perl 

print "Content-type: text/html\n\n"; 

print "Hello!!"; 

[root@localhost cgi-bin]# chmod 755 hello.cgi 


测试 是 否 支持 CGI 


打开 浏览 器 , 输入 【http:VIP 或 网 址 /cgi-bin/hello.cgi】 执行 结果 如 下 图 所 示 , 这 表示 Apache 
可 以 支持 CGI 文件 。 


RAD MO FEV HLO SEO IAV NO 


€ esi 80.168.233. 220/cgi-bin/helLo. egi >| P| f 


Hello!! 


若 执行 结果 出 现 如 下 图 所 示 的 Intemal Server Error， 有 两 个 可 能 的 原因 。 
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X CGI 页 面 程序 的 权限 不 够 ， 需 要 配置 为 711 或 755。 
a 程序 中 有 一 行 #!/usr/bin/perl， 在 # 号 前 不 可 以 有 空格 。 


Internal Server Error 


The server encountered an internal error or misconfiguration and was unable to complete your 
request. 


Please contact the server administrator, root@localhost and inform them of the time the error 
occurred, and anything you mght have done that may have caused the error. 


More information about this error may be available in the server error log 


Apache!2.2.15 (CentOS) Server at 192.168.233.230 Port 80 


5.7 让 Apache 支 持 SSL 


HTTPS 存 在 不 同 于 HTTP 的 默认 端口 及 一 个 加 密 / 身 份 验证 层 ，HTTPS 全 名 为 Hypertext 
Transfer Protocol over Secure Socket Layer, 简单 来 说 就 是 使 用 SSL 会 让 网 页 浏览 更 安全 ，Apache 
默认 不 支持 SSL， 必 须 自 行 添加 配置 。 

SSL 是 Web 服 务 器 和 浏览 器 之 间 以 加 解密 方式 进行 沟通 的 安全 技术 标准 ， 这 样 的 沟通 过 程 
确保 了 服务 器 与 浏览 器 之 间 传 输 的 数据 是 完整 的 ， 并 且 确 保 了 服务 器 的 真实 性 ，SSL 是 一 个 企 
业 级 标准 , 被 网 站 用 来 保护 它们 与 客户 的 在 线 交易 信息 , 在 网 络 交易 或 牵涉 到 机 密 数据 时 才 使 
用 SSL 安 全 链接 ， 一 台 Web 服 务 器 需要 申请 一 张 数字 证 书 ， 如 果 要 有 两 台 Web 服 务 器 ， 必 须 再 
申请 一 张 数字 证 书 。 


安装 mod_ssl 模 块 


首先 检查 是 否 已 安装 SSL 软 件 。 
[root@localhost ~]# rpm -qa|grep mod ssl // 检 查 是 否 安装 SSL 软件 
mod ssl-2.2.15-5.e16.centos.x86 64 
如 果 没 有 安装 mod_ssl 模 块 ，Web 服 务 器 就 无 法 提供 SSL 服 务 ， 可 使 用 Yum 在 线 更 新 方式 安 
装 。 
[root@localhost ~]# yum install -y mod ssl // 安 装 SSL 软件 
Dependencies Resolved 


Installing: 
mod ssl x86 64 1:2.2.15-5.e16.centos base 85 k 
Transaction Summary 


Install 1 Package (s) 
Upgrade 0 Package (s) 


£f 


CentOS 6.x 系统 管理 实战 宝典 


Total download size: 85 K 
Installed size: 183 k 


配置 SSL 


首先 编辑 SSL 配 置 文件 ， 检 查 端 口 是 否 为 443 及 前 面 是 否 有 # 号 ， 另 外 LoadModule 是 指 支持 
HTTP 所 需要 的 mod_ssl.so 模 块 。 


[root@localhost ~]# vi /etc/httpd/conf.d/ssl.conf // 编 辑 SSL 配置 文件 
# 

# This is the Apache server configuration file providing SSL support. 

# It contains the configuration directives to instruct the server how to 

# serve pages over an https connection. For detailing information about these 
# directives see «URL:http://httpd.apache.org/docs/2.2/mod/mod ssl.html» 

# 

# Do NOT simply read the instructions in here without understanding 

# what they do. They're here only as hints or reminders. If you are unsure 
# consult the online docs. You have been warned. 

# 

LoadModule ssl module modules/mod ssl.so // 支 持 SSL 模块 

# 

# When we also provide SSL we have to listen to the 

# the HTTPS port in addition. 

# 

Listen 443 /[http ssl 默认 端口 为 443， 如 果 有 # 号 需 删 除 才 可 以 使 用 


配置 防火 墙 


SSL 服 务必 须 在 防火 墙 配置 中 开启 443 端 口 ，HTTPS 才 可 以 对 外 连接 。 


[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

“filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT  //SSL 端口 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


防火 墙 配 置 完成 后 ， 必 须 重新 启动 防火 墙 服务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 
iptables: Flushing firewall rules: | BD ,0 | 
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iptables: Setting chains to policy ACCEPT: filter [ OK ] 
iptables: Unloading modules: ESOK C 
iptables: Applying firewall rules: [OK | 


- 切 配置 完成 后 ， 必 须 重 新 启动 apache 服 务 ，Apache 配 置 才 会 生效 。 


[root@localhost ~]# service httpd restart 
Stopping httpd: [ OK ] 
Starting httpd: | 


测试 Apache SSL 是 否 正常 运行 


在 浏览 器 中 输入 【https://IP 或 网 址 》 如 果 出 现 如 下 图 所 示 的 页 面 , 表示 已 正确 加 载 mod_ssl 
模块 ， 按 【继续 浏览 此 网 站 〈 不 推荐 )】 ， 则 进入 网 站 ， 如 果 按 【 单 击 此 处 关闭 该 网 页 } 则 关 
闭 窗口 。 


RC PELL , 并且 不 5 


Q9 ostii parem. 


© 更 多 信息 


数字 证 书 请 到 数字 证 书 中 心 申请 。 


如 果 不 提供 SSL 服 务 ， 一 定 要 删除 mod_ssl， 输 入 【 yum remove mod ssl }, 


下 面 提供 几 个 国内 常见 的 数字 证 书 管理 中 心 。 


北京 数字 证 书 管理 中 心 _http://www.bjca.org.cn/ 
| 上 海 数 字 证 书 管理 中 心 http://www.sheca.com/default.aspx | 
| 广州 数字 证 书 管理 中 心 http://www.gzca.gd.cn/ | 


5.8 配置 Apache 支 持 用户 认 证 功能 

在 网 站 管理 中 ， 为 了 确保 特定 网 页 目录 的 访问 安全 性 ， 需 要 配 告 Apache 服 务 对 该 网 页 目 
录 进行 用 户 认证 , 就 是 登录 这 些 网 页 目录 时 ， 需 要 输入 用 户 名 和 密码 ， 输 入 完成 后 才 可 以 浏览 
网 页 。 
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开启 Apache 目 录 认 证 功能 


如 果 让 Apache 支 持 目录 认证 功能 ， 首 先 在 配置 文件 中 开启 此 功能 ， 将 AllowOverride None 
改 成 【Alll， 这 样 就 启动 目录 认证 功能 ， 其 次 创建 需要 认证 的 目录 。 
[root@localhost /]# vi /etc/httpd/conf/httpd.conf 
# AllowOverride controls what directives may be placed in .htaccess files. 


# It can be "All", "None", or any combination of the keywords: 
# = Options FileInfo AuthConfig Limit 


# 
AllowOverride All / [S i None, HH All 
“中 间 省 略 .… 
AccessFileName .htaccess // 登 录 密码 文件 的 存放 位 置 
“中 间 省 略 .… 
«Directory "/var/www/html/security"> / /创建 认证 目录 
AllowOverride AuthConfig // 默 认为 None， 修 改 为 AuthCconfig 


Order allow,deny 
Allow from all 
«/Directory» 


配置 完成 后 ， 必 须 重新 启动 Apache 服 务 ， 配 置 才 会 生效 。 


[root@localhost /]# service httpd restart 
Stopping httpd: OETI 
Starting httpd: [ox | 


创建 认证 用 户 密码 


首先 在 /var/www/html 目 录 下 创建 目录 名 称 为 security， 此 名 称 可 以 根据 自己 的 需要 命名 ， 
不 一 定 要 使 用 security， 其 次 就 是 创建 登录 密码 文件 【.htpasswd】, 示例 中 登录 的 用 户 名 为 jerry， 
用 户 可 以 自行 配置 ， 此 用 户 与 服务 器 用 户 无 关系 ， 要 访问 /var/www/html/security 这 个 目录 ， 创 
建 登录 密码 文件 时 ， 会 要 求 输入 两 次 密码 ， 用 户 密码 创建 成 功 后 会 有 提示 信息 。 


[root@localhost /]# mkdir /var/www/html/security / /创建 认证 目录 

[root@localhost /]# htpasswd -c /var/www/html/security/.htpasswd jerry 
// 创 建 登录 密码 文件 

New password: // 输 入 两 次 密码 

Re-type new password: 

Adding password for user jerry // 创 建 登 录 密 码 文件 成 功 
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认证 目录 security 名 称 可 以 自行 配置 ， 一 旦 修改 后 请 重新 修改 Apache 配 置 文件 及 命令 中 指 
定 的 文件 路 径 。 
注意 第 一 次 新 增 用 户 时 要 加 上 -c， 如果 后 续 添加 用 户 就 不 必 加 上 -c, 例如 要 新 增 用 户 ken， 


添加 用 户 的 命令 是 【 htpasswd /var/www/html/security/.htpasswd ken J 


修改 用 户 密码 的 命令 是 【 htpasswd -m /var/www/html/security/.htpasswd jerry ]， 加 上 参数 
[4m 】 就 可 以 修改 。 


首先 检查 /var/www/html/security 目 录 下 的 【.htpasswd】 是 否 成 功 创建 。 


[root@localhost security]# ls -al /var/www/html/security // 检 查 .htpasswd 是 否 创建 
total 16 

drwxr-xr-x. 2 root root 4096 Aug 19 08:40 . 

drwxr-xr-x. 3 root root 4096 Aug 19 08:35 .. 

-rw-r--r--. 1 root root 103 Aug 19 08:40 .htaccess 

-rw-r--r--. 1 root root 20 Aug 19 09:33 .htpasswd // 登 录 密 码 文件 


其 次 检查 .htpasswd 配 置 文件 的 内 容 ， 示 例 中 jerry 为 登录 用 户 ， 密 码 经 过 加 密 ， 无 法 得 知 原 
始 密码 ， 如 果 忘 记 了 密码 ， 只 能 重新 配置 密码 。 


[root@localhost /]# cat /var/www/html/security/.htpasswd 
jerry:QdTZSKwGloTL. 


成 功 创建 密码 文件 后 ， 接 下 来 就 是 在 认证 目录 下 配置 .htaccess 文 件 。 


[root@localhost ~]# vi /var/www/html/security/.htaccess  ”// 认 证 目录 
AuthUserFile /var/www/html/security/.htpasswd 

AuthName "Welcome Jerry it" 

AuthType Basic 

require valid-user 


* EE 


.htaccess 文件 是 Apache 服 务 器 中 的 一 个 配置 文件 , 一 般 情况 下 为 默认 文件 ， 如 果 文 件 名 不 


同 ， 必 须 修改 Apache 配 置 文件 ， 否 则 无 法 使 用 。 


测试 浏览 目录 是 否 需 输 入 用 户 名 和 密码 
配置 完成 后 ， 在 浏览 器 中 输入 【http://IP 或 网 址 /security】])， 浏 览 器 会 弹出 登录 窗口 ， 如 下 


图 所 示 ， 请 输入 .htpasswd 中 创建 的 用 户 名 和 密码 ,示例 中 用 户 名 为 jerry, 输入 jery 用 户 的 密码 ， 
输入 完成 后 ， 按 【确定 】 
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位 于 Teleone JERRT_IT 的 服务 器 192. 168.233.230 SERRA 
Ee HESSEXU acd 
Eruca 


Lx]. » | 
登录 成 功 后 ， 浏 览 器 会 转换 至 下 图 的 画面 。 


Jndex of /security 


Name Last modified Size Description 


QM Parent Directory 


Apache/2.2.15 (CentOS) Server at 192.168.233.230 Port 80 


连续 3 次 错误 输入 密码 后 ， 浏 览 器 会 显示 如 下 图 所 示 的 认证 错误 信息 。 
Authorization Required 


This server could not verify that you are authorized to access the document requested. Either you 
supplied the wrong credentials (e.g , bad password), or your browser doesn't understand how to 
supply the credentals required. 


Apache/2.2.15 (CentOS) Server at 192.168.233.230 Port 80 


a 
如 果 输 入 用 户 名 和 密码 后 , 一 直 出 现 登录 界面 则 是 Apache 配 置 文件 忘记 加 上 以 下 文字 。 


<Directory "/var/www/html/security"> 
AllowOverride AuthConfig 


Order allow,deny 
Allow from all 
«/Directory» 


5.9 配置 Apache 虚 拟 目录 


如 今 很 多 网 站 上 都 有 不 同 的 应 用 系统 ， 所 以 有 的 公司 网 站 上 可 能 有 很 多 站 点 ， 有 时 候 由 于 
主机 数量 有 限 ， 在 一 台 主 机 上 可 能 需要 挂 载 很 多 网 站 ，Apache 就 是 利用 虚拟 目录 来 配置 多 个 
网 站 ， 让 多 个 网 站 同时 存在 于 同一 台 网 站 服务 器 上 。 
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环境 介绍 


现 有 一 人 台 网 站 服务 器 ,有 两 个 网 站 blog.jerryit.idv.cn 和 media.jerryit.idv.cn 必 须 存 在 于 同一 台 
Web 网 站 主机 上 ， 相 关 数 据 如 下 。 


应 用 名 称 服务 器 地 址 类 型 
网 站 服务 器 192.168.1.98 主机 CAD 

| blog blog jerryit.idv.cn 别名 (CNAME) | 
media media jerryit.idv.cn 别名 (CNAME) | 


配置 DNS 


将 以 上 数据 配置 到 DNS 服务 器 上 ， 这 里 用 Windows Server 2003 作 为 DNS 服务 ， 读 者 可 以 自 
己 根据 需求 配置 ， 在 DNS 服 务 上 添加 Web 网 站 服务 器 A 的 地 址 192.168.233.128， 并 配置 两 个 别 
名 (CNAME) 记录 为 blog 及 media， 两 者 同时 指向 Web 网 站 服务 器 A， 配 置 如 下 图 所 示 。 


= NISEE-IO9INE AZERE jerryi t. dv. ex 
PETS O O Ww bo | =12 x) 
e» DE FPR AB Iaa 


5 B enero 
HERUM &] RARE) EXCLUDIT = 
团 jerry t Lv en. (E) TAA) EL W) 
oD EAREN m 


Me cium) 


创建 blog 和 media 网 站 目录 


在 /var/www/html 目 录 下 创建 blog 和 media 两 个 网 站 的 目录 。 


[root@localhost /]# mkdir /var/www/html/blog // 创 建 blog 目录 
[root@localhost /]# mkdir /var/www/html/media // 创 建 media 目录 


国 EA 


如 果 网 页 目录 路 径 配 置 不 正确 ， 请 修改 Apache 的 配置 文件 。 
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创建 blog 和 media 范 例 网 页 


在 blog 和 media 两 个 网 站 目录 内 创建 范例 网 页 。 


[root@localhost /]# echo "Hello blog.jerryit.idv.cn" > /var/www/html/blog/index.html 
[root@localhost /]# echo "Hello media.jerryit.idv.cn" > /var/www/html/media/index.html 


可 自行 创建 范例 网 页 ， 也 可 以 上 传 其 他 范例 网 页 ， 上 述 两 个 范例 网 页 是 为 了 区 分 测试 。 


配置 Apache 网 站 虚拟 目录 


要 创建 网 站 虚拟 目录 ， 必 须 编 辑 Apache 配 置 文件 ， 将 blog 和 media 虚 拟 目 录 信 息 写 入 
httpd.conf 配 置 文件 ，Apache 配 置 文件 内 有 虚拟 目录 范例 。 


[root@localhost /]# vi /etc/httpd/conf/httpd.conf 
#<VirtualHost *:80> 

# ServerAdmin webmaster@dummy-host .example.com 

# DocumentRoot /www/docs/dummy-host .example.com 

# ServerName dummy-host .example.com 

# ErrorLog logs/dummy-host .example.com-error_log 

# CustomLog logs/dummy-host .example.com-access_log common 
#</VirtualHost> 


将 范例 复制 两 份 ， 将 范例 前 面 的 # 号 删除 ， 依 次 修改 范例 内 容 ， 输 入 内 容 如 下 所 示 。 
[root@localhost /]# vi /etc/httpd/conf/httpd.conf 
<VirtualHost *:80> 

ServerAdmin adminejerryit.idv.cn 

DocumentRoot /var/www/html/blog // 网 页 主 目录 

ServerName blog.jerryit.idv.cn // 网 址 名 称 

ErrorLog logs/blog.jerryit.idv.cn-err log 


CustomLog logs/blog.jerryit.idv.cn-access log common 
</VirtualHost> 


<VirtualHost *:80> 
ServerAdmin admin@jerryit.idv.cn 
DocumentRoot /var/www/html/media // 网 页 主 目录 
ServerName media.jerryit.idv.cn // 网 址 名 称 
ErrorLog logs/media.jerryit.idv.cn-err log 
CustomLog logs/media.jerryit.idv.cn-access log common 


</VirtualHost> 
Apache 虚拟 目录 配置 文件 说 明 
参数 说 明 
NameVirtualHost 虚拟 主机 IP 地 址 ， 例 如 192.168.233.128 
VirtualHost | 网 站 到 及 端口 ,例如 192.168.233.128:80 
ServerAdmin | 网 站 管理 员 E-Mail， 例 如 admin@jerryit.idv.cn 
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(BER) 
ET 说 明 
| DocumentRoot 网 站 存放 日 志 目录 ， 例 如 /var/www/html/blog 
ServerName 网 站 网 址 ， 例 如 blog jerryit.idv.cn 


ErrorLog 错误 日 志文 件 ， 位 置 在 /var/log， 例 如 blog.jerryit.idv.cn-err log 


CustomLog 访问 日 志文 件 ， 例 如 blog.jerryit.idv.cn-access log 
WAU NameVirtualHost? 17380 


[root@localhost /]# vi /etc/httpd/conf/httpd.conf 
# Use name-based virtual hosting. 

# 

NameVirtualHost *:80 

# 


如 果 不 是 80 端 口 ， 修 改 配置 完成 后 ， 必 须 


[root@localhost /]# service httpd restart 
Stopping httpd: [ OK ] 
Starting httpd: [ OK ] 


liz: 


下 新 启动 Apache 服 务 ， 配 置 才 会 生效 。 


测试 Apache 虚 拟 目 录 


打开 浏览 器 ， 输 入 【http:Wblogjeryitidvcn】， 如 下 图 所 示 ，blog 网 页 可 以 正常 开局。 


EPE 


BR By. (ve jary 


gisi 


Hello blog. jerryit. idv. cn 


在 浏览 器 中 输入 【http://media.jerryit.idv.cn】〗)， 如 下 图 所 示 ，media 网 页 可 以 正常 开启 。 


Hello media. jerryit. idv. cn 


如 果 blog.jerryit.idv.cn 和 和 media.jerryit.idv.cn 可 以 正常 浏览 ， 代 表 虚 拟 目 录 及 DNS 配 置 成 功 ， 
如 果 需 配置 第 三 个 虚拟 目录 ， 可 以 依 此 类 推 。 
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配置 虚拟 目录 后 网 页 无 法 浏览 
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使 用 nslookup 命 令 查询 两 个 范例 的 网 站 ， 如 果 不 能 正确 查询 ， 需 检查 DNS 的 
CNAME 记 录 是 否 配置 正确 。 
如 果 DNS 可 以 正常 查询 ， 网 站 还 是 无 法 浏览 ， 需 要 检查 httpd.conf 配 置 文件 的 


虚拟 目录 配置 是 否 了 


E 确 或 修改 httpd.conf 配 置 文 件 后 ，Apache 是 否 重新 启动 。 


检查 浏览 器 是 否 使 用 proxy， 如 果 使 用 proxy， 将 其 取消 ， 再 测试 查看 网 页 是 否 


可 以 正常 浏览 。 


«6» 


Tomcat 一 一 网 站 服务 器 


Tomcat 官 方 网 站 : http://tomcat.apache.org/。 

Tomcat 是 Apache 软 件 基金 会 下 属 的 Jakarta 项 目 中 的 一 个 核心 项 目 ， 由 Sun Microsystems 提 
供 技术 规范 ， 实 现 了 对 Servlet 和 JavaServer Page (JSP) 的 支持 ， 并 提供 了 Web 服 务 器 的 一 些 特 
有 功能 ， 如 增强 了 服务 器 管理 程序 和 服务 器 管理 程序 的 安全 性 等 。 由 于 Tomcat 本 身 是 HTTP 服 
务 器 的 扩展 ， 它 也 可 以 被 当 作 一 个 单独 的 Web 服 务 器 使 用 。 但 是 ， 不 能 将 Tomcat 和 Apache 服 务 
器 混淆 ， 因 为 Apache Server 是 一 个 用 C 语 言 实 现 的 HTTP Web Server; 这 两 个 HTTP Web Server 
软件 不 是 捆绑 在 一 起 的 。 Tomcat 包含 一 个 配置 管理 工具 ， 也 可 以 通过 编辑 XML 格式 的 配置 
文件 来 进行 配置 。 


6.1 配置 Tomcat 6 环境 


Tomcat 6 实现 了 对 Servlet 2.5 和 JSP 2.1 等 特性 的 支持 ，CentOS 操 作 系统 目前 无 法 使 用 Yum 
在 线 更 新 方式 安装 ， 所 以 必须 到 官方 网 站 下 载 软件 安装 。 

Tomcat 6 软件 下 载 网 站 : http://tomcat.apache.org/download-60.cgi。 

Tomcat 6.0.35 版 本 下 载 地址 : http://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-6/ 
v6.0.35/bin/apache-tomcat-6.0.35.tar.gz. 


检查 JDK 软 件 
检查 是 否 已 安装 JDK 软 件 ，CentOS 6.x 默 认 已 安装 ， 若 要 安装 其 他 版 本 ， 请 到 Oracle 官 网 
下 载 。 


[root@localhost ~]# rpm -qa | grep jdk 
java-1.6.0-openjdk-1.6.0.0-1.21.b17.e16.x86 64 
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3 EA 


JDK 6 下 载 地 址 


http://www.oracle.com/technetwork/java/javase/downloads/jdk-6u27-download-440405.html 


安装 Tomcat 6 


usd 


使 用 wget 下 载 方式 将 Tomcat6 压 缩 文 件 下 载 到 /usrlocal 目 录 下 ， 解 压缩 后 ， 将 目录 名 称 寻 
命名 为 tomcat6。 


[root@localhost ~]# cd /usr/local // 进 入 /usr/1ocal 目录 
[root@localhostlocal]#wget 
http://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-6/v6.0.35/bin/apache-tomcat-6 
.0.35.tar.gz .中 间 省 略 . 

[root@localhost local]# tar -zxvf apache-tomcat-*.tar.gz  // 解 压缩 


中间 省 略 .… 
[root@localhost local]# mv apache-tomcat-6.0.35 tomcat6  // 重 命名 tomcat 目录 名 称 


| ce «Sd 
Tomcat 最 新 版 本 按照 官网 公布 为 准 。 


启动 及 关闭 Tomcat 6 
进入 Tomcat6 的 bin 目 录 ， 启 动 Tomcat 6。 
[root@localhost local]# cd tomcat6/bin // 进 入 tomcat6 的 bin 目录 
[root@localhost bin]# ./startup.sh // 启 动 tomcat6 
Using CATALINA BASE: /usr/local/tomcat6 
Using CATALINA HOME: /usr/local/tomcat6 
Using CATALINA TMPDIR: /usr/local/tomcat6/temp 
Using JRE HOME: /usr 
Using CLASSPATH: /usr/local/tomcat6/bin/bootstrap.jar 


Tomcat 服 务 启 动 与 关闭 的 方式 如 下 表 所 示 。 
启动 Tomcat 6 /usr/local/tomcat6/bin/startup.sh 
关闭 Tomcat 6 /usr/local/tomcat6/bin/shutdown.sh 


Tomcat 目 录 说 明 


Tomcat 相 关 目 录 如 下 表 所 示 ， 路 径 与 Apache 相 似 。 


网 页 存放 目录 
日 志文 件 目录 
配置 文件 目录 


/usr/local/tomcat6/webapps/ROOT 


/usr/local/tomcat6/logs 


/usr/local/tomcat6/conf 
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配置 防火 墙 


Tomcat 6 默认 端口 为 8080， 必 须 在 防火 墙 配置 中 开启 8080 端 口才 可 以 对 外 连接 。 


[root@localhost local]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT 


//tomeat 端口 

-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 

防火 墙 配置 完成 后 ， 必 须 重新 启动 服务 ， 配 置 才 会 生效 。 
[root@localhost local]# service iptables restart 
iptables: Flushing firewall rules: [ OK ] 
iptables: Setting chains to policy ACCEPT: filter [Okan 
iptables: Unloading modules: Jil og 
iptables: Applying firewall rules: [ ‘OK ] 


测试 Tomcat 6 是 否 运行 正常 


在 浏览 器 中 输入 【http://IP 地 址 :8080】]， 默 认 Tomcat 6 端口 为 8080， 下 图 所 示 表 示 Tomcat 6 
安装 成 功 。 


you're seeing this page via a web browser, t means you've setup Tomcat successfully. 
Congratulations! 


As you may have guessed by now, this is the defaut Tomcat home page. It can be found on the local 
Megystern at. 


SCATALINA HOME/webapps/ROOT/ index.html 


where "SCATALINA, HOME" is the root of he 
and you domt funk you should be, then youre 


onp 
Tomcat Documertation for more detailed setup and administration information than is 
ALL fle 


NOTE: For security reasons, using the manager webapp ls restricted to users with role 
"manager". Users are delined in KATALINA BUR eee tenet rers. mal 


Included with this release are a host of sample Servets and JSPs (wth associated source code), 
extensive documentation, and an introductory guide to developing web applications 


Tomcat mating ists are svarisble at the Tomcat project web site 


«+ users@tomcat apache.org lor general quesbons related to configunng and using Tomcat 
+ dev@tomeat apache.org for developers working on Tomcat 


Thanks for using Tomcat! 
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| 输入 网 址 或 了 p 地 址 时 要 加 上 http， 否 则 会 无 法 识别 。 | 


分 别 测试 JSP ExamplesfllServlet Examples 示 例 网 页 是 否 可 以 正常 浏览 。 


JSP 2.0 Examples 


Expression Language 

Basic Arithmetic "ye Execute A ‘Source 
Basic Comparisons ^e Execute. P Source 
Implicit Objects ^e Execute. Ld ‘Source 
Functions Execute A Source 


SimpleTag Handlers and JSP Fragments 


Hello World Tag k-] Execute. A Source 
Repeat Tag ^ Execute. 2P Source 
Book Example ^ Execute. Ld Source 


6.2 配置 Tomcat 7 环境 


Tomcat 7 实现 了 对 于 Servlet 3.0、JSP 2.2 和 EL 2.2 等 特性 的 支持 ， 提 高 了 服务 器 的 安全 性 ， 
降低 了 遭受 攻击 的 可 能 。 

Tomcat 7 软件 下 载 网 站 : http://tomcat.apache.org/download-70.cgi. 

Tomcat 7.0.29 版 本 下 载 地 址 : http://mirror.bit.edu.cn/apache/tomcat/tomcat-7/v7.0.29/bin/ 
apache-tomcat-7.0.29.tar.gz. 


最 新 版 本 依 官方 网 站 为 准 。 


检查 JDK 软 件 


检查 是 否 已 安装 JDK，CentOS 6.x 默 认 已 安装 ， 若 要 安装 其 他 版 本 ， 请 到 Oracle 官 网 下 载 。 


[root@localhost ~]# rpm -qa | grep jdk 
java-1.6.0-openjdk-1.6.0.0-1.21.b17.e16.x86 64 


: EE 


JDK 7 F £k b Hb:  http//www.oracle.com/technetwork/java/javase/downloads/java-se-jdk-7- 


download-432154.html; 


安装 Tomcat 7 软件 


使 用 wget 下 载 方式 将 压缩 文件 下 载 到 /usr/local 目 录 下 , 解压 缩 后 ,将 目录 重 命名 为 tomcat7 
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[root@localhost ~]# cd /usr/local // 进 入 /usr/1local 目录 
[root@localhost local]# wget 
http://mirror.bit.edu.cn/apache/tomcat/tomcat-7/v7.0.29/bin/apache-tomcat-7.0.29.tar.g 


Zz 

-中 间 省 略 - 

[root@localhost local]# tar -zxvf apache-tomcat-7.0.29.tar.gz  // 解 压缩 文件 
“中间 省 略 .… 

[root@localhost local]# mv apache-tomcat-7.0.29 tomcat7 // 将 目录 重 命名 为 tomcat7 


启动 Tomcat 7 
要 启动 Tomcat 7， 需 要 进入 Tomcat 的 bin 目 录 ， 该 目录 下 的 命令 用 于 管理 Tomcat 服 务 。 

[root@localhost local]# cd tomcat7/bin // 进 入 Tomcat 7 的 bin 目录 
[root@localhost bin]# ./startup.sh // 启 动 Tomcat7 

Using CATALINA BASE: /usr/local/tomcat7 

Using CATALINA HOME: /usr/local/tomcat7 

Using CATALINA TMPDIR: /usr/local/tomcat7/temp 

Using JRE_HOME: /usr 


Using CLASSPATH: 
/usr/local/tomcat7/bin/bootstrap. jar: /usr/local/tomcat7/bin/tomcat-juli.jar 


Tomcat 服 务 的 启动 与 关闭 方法 如 下 表 所 示 。 


启动 Tomcat7 /usr/local/tomcat7/bin/startup.sh 
关闭 Tomcat 7 /usr/local/tomcat7/bin/shutdown.sh 


防火 墙 设 定 


Tomcat 7 默认 端口 为 8080， 所 以 必须 在 防火 墙 配置 中 开启 8080 端 口才 可 以 对 外 连接 。 


[root@localhost /]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT 
//tomcat 端口 


-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 


防火 墙 配 置 完成 后 ， 必 须 重新 启动 服务 ， 配 置 才 会 生效 。 


[root@localhost /]# service iptables restart 
iptables: Flushing firewall rules: LOOK | 
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iptables: Setting chains to policy ACCEPT: filter [ OK ] 
iptables: Unloading modules: [ OK; | 
iptables: Applying firewall rules: C OK | 


测试 Tomcat 7 是 否 正 常 运作 


打开 浏览 器 ， 输 入 【http:/ZP 地 址 :8080】， 一 定 要 加 上 http， 和 否则 无 法 浏览 Tomcat 7 首页 。 


Home Documentation Configuration Examples Wiki Mailing Lists 


Find Help 


Apache Tomcat/7.0.29 Te Apache Software Foundation 


Mp: // www apache.org/ 


you're seeing this, you've successfully Installed Tomcat. Congratulations! 


|" Recommended Reading: Servi suna 
aaa Coneterstens HOWTO 
Manager App 
(Menage: Aopteston HOW-TO m 
‘lusting sion Reptcation HOW-TO as 
o 


For stturty. access to me manager 
wale i reacted Users are efned x 


[e 


测试 示例 网 页 是 否 可 以 浏览 ， 输 入 【http:WIP:8080/examples/jsp/】， 选 择 其 中 一 个 Execute 
即 可 测试 。 
JSP Samples 


"Di 1s a colection of samples denocarateg the usage of ABecent pac ofthe Jara Server Pages (ISP) spec&cation Both JSP 2 0 and JSP 1.2 examples are 
resented below 


"eas examples wll only wor ven eee pages ars being zered by a perdet engins, of coueze, wa recommend Tomcat They wil ot werk you re eng 
these pages viaa ‘Se. URL 


‘To navigate your way through the examples, the folowing icons wil heip 


pg Foes te ene 
PD Teck athe source code forthe example 
G) Betan to tis sae 


"Ti: For session scoped beans to work. the cookies must be enabled Thi can be done usag browser options. 


JSP 2.0 Examples 

Expression Language 

Basit Arthmetic bI Posse 
Basic Comparisons Em Piste 
pica Objects EIL Lens 
Funcions pine Pi 
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MySQL 一 一 数据 库 


MySQL 官 方 网 站 : http://www.mysql.com/。 

MySQL 由 于 性 能 高 、 成 本 低 、 可 靠 性 好 ， 已 经 成 为 现今 最 流行 的 开源 数据 库 ， 被 广泛 地 
应 用 在 中 小 型 网 站 中 。 随 着 MySQL 的 不 断 成 熟 ， 它 也 逐渐 用 于 更 多 大 规模 网 站 ， 比 如 维基 百 
科 、Google 和 Facebook。 非 常 流行 的 开源 软件 组 合 LAMP 中 的 M 就 是 指 MySQL。 


a 
a 


E 
a 
a 
a 
EI 
E] 


EI 
x 


7.1 


使 用 C 和 C++ 编写 ， 并 使 用 了 多 种 编译 程序 进行 测试 ， 保 证 源 代码 的 可 移植 性 。 

支持 AIX、BSDi、FreeBSD、HP-UX、Linux、Mac OS. Novell NetWare、NetBSD、 
OpenBSD. OS/2 Wrap、Solaris、Windows 等 多 种 操作 系统 。 

为 多 种 编程 语言 提供 了 APL 这 些 编程 语言 包括 C、C++、C# VB.NET. Delphi. Eiffel. 
Java、Perl、PHP、Python、Ruby 和 Tcl 等 。 

支持 多 线程 ， 充 分 利用 CPU 资源 ， 支 持 多 用 户 。 

优化 的 SQL 查询 算法 ， 有 效 地 提高 查询 速度 。 

既 能 够 作为 一 个 单独 的 应 用 程序 应 用 在 客户 端 服务 器 网 络 环境 中 ， 也 能 够 作为 一 个 库 
嵌入 到 其 他 的 软件 中 。 

提供 多 语言 支持 ， 常 见 的 编码 如 中 文 的 GB2312/BIG5、 日 文 的 Shift JIS 等 都 可 以 用 作 
数据 表 名 和 数据 列 名 。 

提供 TCPIP、ODBC 和 JDBC 等 多 种 数据 库 连接 途径 。 

提供 用 于 管理 、 检 查 、 优 化 数据 库 操作 的 管理 工具 。 

可 以 处 理 拥有 上 千 万 条 记录 的 大 型 数据 库 。 


安装 MySQL 数 据 库 


本 章 介绍 该 如 何 安装 MySQL 数 据 库 ， 安 装 完成 后 如 何 配置 环境 及 相应 的 操作 。 
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检查 MySQL 数 据 库 是 否 安装 


安装 前 先 检查 是 否 已 安装 MySQL 数 据 库 ， 有 些 版 本 在 安装 操作 系统 时 已 经 安装 。 


[root@localhost ~]# rpm -qa|grep mysql // 检 查 MySQL 软件 
mysql-server-5.1.52-1.e16 0.1.x86 64 
mysql-libs-5.1.52-1.e16 0.1.x86 64 
mysql-5.1.52-1.e16 0.1.x86 64 


安装 MySQL 数 据 库 


安装 MySQL 数 据 库 软件 ， 基 本 上 需要 安装 mysql 及 mysql-server 这 两 个 软件 。 


[root@localhost ~]# yum install -y mysql mysql-server 
Dependencies Resolved 


Package Arch Version Repository Size 


Installing: 


mysql x86 64 5.1.52-1.e16 0.1 updates 889 k 
mysql-server x86 64  5.1.52-1.e16 0.1 updates 8.1M 
Installing for dependencies: 

perl-DBD-MySQL x86 64  4.013-3.el6 base 134 k 
Updating for dependencies: 

mysql-libs x86 64 5.1.52-1.e16 0.1 updates 1.2 M 


Transaction Summary 


Install 3 Package (s) 
Upgrade 1 Package (s) 
Total download size: 10 M 


MySQL 的 启动 和 关闭 


安装 MySQL 数 据 库 完毕 后 ， 第 一 次 启动 MySQL 数 据 库 时 ， 除 了 欢迎 信息 ， 还 会 提醒 必 
要 配置 MySQL 数 据 库 密 码 ，MySQL 数 据 库 默认 无 密码 ， 配 置 密码 较为 安全 。 


[root@localhost ~]# service mysqld start // H3 MySQL 
Initializing MySQL database: Installing MySQL system tables... 
OK 

Filling help tables... 

OK 

To start mysqld at boot time you have to copy 
support-files/mysql.server to the right place for your system 
PLEASE REMEMBER TO SET A PASSWORD FOR THE MySQL root USER ! 

To do so, start the server, then issue the following commands: 
/usr/bin/mysqladmin -u root password 'new-password' 
/usr/bin/mysqladmin -u root -h localhost.localdomain password 'new-password' 
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Alternatively you can run: 
/usr/bin/mysql secure installation 

which will also give you the option of removing the test 
databases and anonymous user created by default. This is 
strongly recommended for production servers. 

See the manual for more instructions. 

You can start the MySQL daemon with: 

cd /usr ; /usr/bin/mysqld safe & 

You can test the MySQL daemon with mysql-test-run.pl 

cd /usr/mysql-test ; perl mysql-test-run.pl 

Please report any problems with the /usr/bin/mysqlbug script! 


[ 10K J 
Starting mysqld: | 


MySQL 数据 库 每 次 开机 都 要 运行 ， 因 此 必须 将 MySQL 数 据 库 配置 为 系统 默认 启动 ， 输 入 
【chkconfig mysqld on】， 这 样 MySQL 数据库 在 系统 重新 启动 后 也 会 自动 启动 。 下 表 列 出 了 经 
常 使 用 的 MySQL 数 据 库 状 态 管理 命令 。 


Service mysqld start 
service mysqld stop 


MySQL 的 登录 和 退出 


MySQL 数 据 库 分 为 有 密码 及 无 密码 的 登录 ， 默 认 安 装 好 后 ，MySQL 数 据 库 没有 密码 ， 所 
以 不 用 加 上 参数 P， 若 配置 密码 后 ， 则 要 加 上 参数 P 才 可 以 登录 ， 以 下 是 两 种 登录 方法 ， 退 出 
的 方法 为 输入 quit 或 exit。 


[root@localhost ~]# mysql -u root  ”// 默 认 无 密码 登录 

Welcome to the MySQL monitor. Commands end with ; or Mg. 

Your MySQL connection id is 2 

Server version: 5.1.52 Source distribution 

Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. 
This software comes with ABSOLUTELY NO WARRANTY. This is free software, 

and you are welcome to modify and redistribute it under the GPL v2 license 
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 
mysql» quit / ABiH MySQL 

Bye 


[root@localhost ~]# mysql -u root -p 
Enter password: 
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Welcome to the MySQL monitor. Commands end with ; or Mg. 

Your MySQL connection id is 7 

Server version: 5.1.52 Source distribution 

Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. 
This software comes with ABSOLUTELY NO WARRANTY. This is free software, 

and you are welcome to modify and redistribute it under the GPL v2 license 
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 
mysql» exit 

Bye 

[root@localhost ~]# 


配置 MySQL 数 据 库 密码 
第 一 次 启动 MySQL 数 据 库 时 是 没有 密码 的 ， 所 以 要 配置 密码 ， 可 确保 MySQL 数 据 库 的 安 
全 性 ， 配 置 密码 方法 说 明 如 下 ， 默 认 都 会 配置 root 用 户 账 号 的 密码 。 


mysqladmin -u 用 户 password 密码 


下 面 介绍 如 何 配置 MySQL 数 据 库 的 密码 ， 就 以 root 账 号 为 例 来 配置 MySQL 数 据 库 密 码 ， 
首先 检查 MySQL 数 据 库 是 否 为 启动 状态 ， 和 否则 无 法 配置 密码 。 


[root@localhost ~]# service mysqld status // 检 查 MySQL 状态 
mysqld (pid 9113) is running... 
[root@localhost ~]# mysqladmin -u root password Aa1234567 // 配 置 密码 


若 没 有 启动 MySQL 数 据 库 ， 配 置 密码 时 会 出 现 错误 信息 。 


[root@localhost ~]# mysqladmin -u root password Aa1234567 
mysqladmin: connect to server at 'localhost' failed 


error: 'Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' 
Ge 


Check that mysqld is running and that the socket: '/var/lib/mysql/mysql.sock' exists! 


修改 数据 库 用 户 密 码 


MySQL 数 据 库 配置 好 密码 后 ， 也 有 可 能 需要 修改 密码 ， 修 改 密码 的 方法 如 下 ， 需 要 输入 
旧 密 码 ， 若 没有 旧 密 码 则 无 法 修改 。 


mysqladmin -u H/ -p password 新 密码 


上 刚刚 配置 好 的 root 用 户 来 修改 密码 。 
[root@localhost ~]# mysqladmin -u root -p password Aa12345678 // 变 更 密码 


Enter password: // 输 入 旧 密 码 
[rootelocalhost ~]# 
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重 设 root 密 码 


若 忘 记 MySQL 数 据 库 的 root 用 户 密码 ， 就 无 法 登录 使 用 ， 必 须 想 办 法 重新 配置 密码 。 下 面 
介绍 重 设 用 户 密码 的 方法 ， 首 先 将 MySQL 数 据 库 关闭 ， 其 次 以 --skip-grant-table 的 参数 启动 
MySQL 数 据 库 。 以 下 步 又 较 多 ， 请 勿 遗漏 ， 修 改 完 密码 后 ， 测 试 是 否 可 以 以 新 密码 登录 。 


[root@localhost ~]# service mysqld stop / [XV] MySQL 
Stopping mysqld: [L (6 | 
[root@localhost ~]# /usr/bin/mysqld safe --skip-grant-table & 

/ [EN MySQL 安全 模式 ， 通 常会 卡 住 ， 其 实 是 在 后 台 运行 ， 所 以 一 分 钟 后 按 Ctrl+C 
[1] 3237 
[root@localhost ~]# 110901 09:50:09 mysqld safe Logging to '/var/log/mysqld.log'. 
110901 09:50:09 mysqld safe Starting mysqld daemon with databases from /var/lib/mysql 
[root@localhost ~]# mysql -u root // 无 密码 方式 登录 
Welcome to the MySQL monitor. Commands end with ; or Mg. 
Your MySQL connection id is 1 
Server version: 5.1.52 Source distribution 
Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. 
This software comes with ABSOLUTELY NO WARRANTY. This is free software, 
and you are welcome to modify and redistribute it under the GPL v2 license 
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 
mysql» use mysql; // 使 用 MySQL 数据 库 
Reading table information for completion of table and column names 
You can turn off this feature to get a quicker startup with -A 
Database changed 
mysql» update user set password-PASSWORD ("Aa1234567") where User-'root'; 
Query OK, 3 rows affected (0.00 sec) 
Rows matched: 3 Changed: 3 Warnings: 0 

// 配 置 Raa1234567 为 新 密码 ，root 为 被 修改 的 账号 


mysql» flush privileges; // 更 新 写 入 

Query OK，0 rows affected (0.00 sec) 

mysql» quit // 修 改 密码 完成 ， 退 出 MySQL 数据 库 
Bye 

[root@localhost ~]# service mysqld restart // 重 新 启动 MySQL， 取 消 安全 模式 登录 
110901 09:54:44 mysqld_safe mysqld from pid file /var/run/mysqld/mysqld.pid ended 
Stopping mysqld: [ OK ] 

Starting mysqld: [ OF 1 

[1]+ Done /usr/bin/mysqld_safe --skip-grant-table 
[root@localhost ~]# mysql -u root -p // 使 用 密码 方式 登录 


Enter password: 

Welcome to the MySQL monitor. Commands end with ; or Mg. 

Your MySQL connection id is 3 

Server version: 5.1.52 Source distribution 

Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. 
This software comes with ABSOLUTELY NO WARRANTY. This is free software, 

and you are welcome to modify and redistribute it under the GPL v2 license 
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 
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mysql> quit // 可 以 用 修改 后 的 密码 登录 ， 确 认 后 退出 
Bye 
[root@localhost ~]# 


创建 、 删 除 、 查 看 数据 库 


系统 管理 员 最 常用 到 的 MySQL 数 据 库 操作 就 是 查看 、 创 建 、 删 除 ， 如 果 想 执行 更 详细 的 
操作 ， 请 使 用 MySQL 数 据 库 管理 软件 来 管理 操作 ， 如 使 用 phpMyAdmin 或 navicat。 下 面 以 DB1 
为 范例 数据 库 来 进行 介绍 。 


[root@localhost ~]# mysql -u root -p // 以 密码 方式 登录 MySQL 
Enter password: 

Welcome to the MySQL monitor. Commands end with ; or Mg. 

Your MySQL connection id is 3 

Server version: 5.1.52 Source distribution 

Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. 
This software comes with ABSOLUTELY NO WARRANTY. This is free software, 

and you are welcome to modify and redistribute it under the GPL v2 license 
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 
mysql> create database dbl; // 创 建 DB1 数据 库 

Query OK, 1 row affected (0.00 sec) 

mysql» show databases; // 查 看 MySQL 所 有 数据 库 


| dbi 


4 rows in set (0.00 sec) 

mysql» drop database dbl; / [BIER DB1 数据 库 
Query OK，0 rows affected (0.01 sec) 

mysql» quit / NBH MySQL 
Bye 


范例 数据 库 名 称 为 DB1。 


MySQL 配 置 文件 内 容 说 明 


了 解 了 一 些 管理 MySQL 数 据 库 的 方式 和 配置 ， 也 要 了 解 MySQL 数 据 库 配 置 文件 的 内 容 ， 
即 数据 库 的 存放 路 径 及 日 志文 件 的 路 径 ， 以 便 日 后 进行 配置 及 备份 。 


[root@localhost ~]# vi /etc/my.cnf // /etc/my.cnf 为 MysQL 配置 文件 的 位 置 
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[mysqld] 
datadir-/var/lib/mysql // 数 据 库 文 件 目录 
Ssocket-/var/lib/mysql/mysql.sock // Socket 文件 


user=mysql 

# Disabling symbolic-links is recommended to prevent assorted security risks 
symbolic-links=0 

[mysqld safe] 

log-error-/var/log/mysqld.log // 数 据 库 日 志文 件 
pid-file-/var/run/mysqld/mysqld.pid // 进 程 PID 文件 


7.2 修改 MySQL 数 据 库 端 口 


每 个 数据 库 的 运行 都 会 用 到 端口 ，Microsoft SQL Server 端 口 为 1433，MySQL 数 据 库 默认 
端口 为 3306， 通 常 不 会 修改 数据 库 的 端口 ， 因 为 修改 数据 库 端 口 会 有 安全 性 问题 ， 如 果 有 端口 
冲突 现象 ， 才 需要 修改 ， 首 先 不 考虑 什么 原因 ， 如 何 修改 端口 还 是 需要 知道 的 ， 修 改 前 先 检查 
数据 库 使 用 的 端口 。 


[root@localhost ~]# netstat -tunlp | grep mysqld 
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 3476/mysqld 


如 果 要 修改 MySQL 数 据 库 端口 ， 必 须 在 MySQL 数 据 库 配置 文件 中 修改 ， 默 认 里 面 没有 配 
置 端口 的 参数 ，MySQL 数据库 默认 端口 就 是 3306， 所 以 要 使 用 其 他 的 端口 就 必须 自行 修改 ， 
例如 ， 要 将 端口 修改 成 3305， 就 需要 在 【mysqld】 配置 项 的 最 后 一 行 加 上 端口 参数 与 所 要 使 用 
的 端口 号 ， 配 置 完成 后 ， 保 存 退 出 。 


[root@localhost ~]# vi /etc/my.cnf // 编 辑 MySQL 配置 文件 
[mysqld] 

datadir-/var/lib/mysql 

Socket-/var/lib/mysql/mysql.sock 

user-mysql 

# Disabling symbolic-links is recommended to prevent assorted security risks 
symbolic-links-0 

port-3305 // 默 认 没 有 此 行 ， 配 置 端口 为 3305 


[mysqld_safe] 
log-error=/var/log/mysqld.log 
pid-file=/var/run/mysqld/mysqld.pid 
修改 MySQL 数 据 库 端口 后 ， 必 须 重新 启动 MySQL 数据 库 服 务 ，MySQL 配 置 才 会 生效 。 


[root@localhost ~]# service mysqld restart 
Stopping mysqld: [ OK ] 
Starting mysqld: [GE I 


记得 将 防火 墙 的 端口 改 成 3305， 否 则 无 法 使 
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如 果 重 新 启动 发 生 错误 ， 问 题 就 出 在 SELinux 的 安全 性 上 ， 建 议 将 SELinux 关 闭 。 


[root@localhost ~]# service mysqld restart 


Stopping mysqld: [L tes |! 
MySQL Daemon failed to start. 
Starting mysqld: [FAILED] 


重新 启动 MySQL 数 据 库 后 ， 检 查 MySQL 数据 库 是 否 以 端口 3305 运 行 ， 如 果 是 的 话 表示 修 
改 成 功 ， 如 果 不 是 的 话 ， 重 新 检查 配置 文件 ， 确 定 错误 位 置 并 修改 。 


[root@localhost ~]# netstat -tunlp | grep mysqld 
tcp 0 0 0.0.0.0:3305 0.0.0.0:* LISTEN1838/mysqld 


7.8 MySQL 数 据 库 权限 配置 


MySQL 数 据 库 用 户 权限 的 授权 或 删除 分 为 本 机 登录 及 远程 登录 ， 因 为 MySQL 数 据 库 权 限 
配置 会 将 账号 的 权限 配置 给 指定 主机 ， 如 果 配 置 为 localhosb 那 该 账号 只 能 在 MySQL 数 据 库 本 
机 使 用 ， 如 果 要 开放 远程 主机 连接 MySQL 数 据 库 ， 那 就 必须 将 账号 配置 给 远程 主机 使 用 ， 下 
面 介绍 的 方法 都 是 授权 或 删除 所 有 权限 ，MySQL 的 权限 有 很 多 ， 可 以 参考 下 表 。 
数据 库 (DateBase) 十 五 种 权限 


ALL PRIVILEGES, ALTER, CREATE, DELETE, DROP, FILE. INDEX, INSERT. 
PROCESS, REFERENCES, RELOAD, SELECT, SHUTDOWN, UPDATE, USAGE 


数据 表 (Table) 八 种 权限 
SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER 
数据 域 (column) 三 种 权限 
SELECT INSERT UPDATE 
授权 用 户 权限 


假如 授权 用 户 账号 jery 有 本 机 及 远程 管理 的 权限 ， 那 么 需要 在 MySQL 数 据 库 中 配置 允许 
远程 登录 的 人 P 地 址 ， 首 先 配置 jerry 允 许 远程 登录 的 人 P 为 192.168.233.2， 假 如 使 用 192.168.233.3 
的 下 地 址 就 不 能 远程 登录 ， 其 次 再 配置 允许 远程 连接 亿 地 址 的 远程 管理 权限 。 下 面 示范 如 何 授 
权 本 机 管理 权限 及 远程 管理 权限 。 


MySQL 数据 库 用 户 权限 命令 说 明 

Grant 授权 

all privileges 所 有 管理 权限 
£x 所 有 数据 库 
Localhost 本 机 地 址 


( 续 表 ) 
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MySQL 数据 库 用 户 权 限 命令 说 阴 


192.168.233.2 远程 连接 IP 地 址 
jerry 


Aal234567 
管理 权限 的 范例 是 所 有 权限 ， 可 根据 实际 情况 按 需 求 配置 。 


[root@localhost ~]# mysql -u root -p 

Enter password: 

Welcome to the MySQL monitor. Commands end with ; or Mg. 
Your MySQL connection id is 2 

Server version: 5.1.52 Source distribution 


Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. 
This software comes with ABSOLUTELY NO WARRANTY. This is free software, 
and you are welcome to modify and redistribute it under the GPL v2 license 


Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 


mysql» grant all privileges on *.* to jerry@localhost identified by 'Aa1234567'; 


localhost.localdomain | 
localhost.localdomain | root 


Query OK, 0 rows affected (0.00 sec) //8]& jerry 本 机 管理 权限 
mysql» grant all privileges on *.* to jerry@192.168.233.2 identified by 'Aa1234567'; 
Query OK, 0 rows affected (0.01 sec) // 创 建 jerry 账号 远程 管理 
mysql» select host,user from mysql.user; // 查 看 MySQL 所 有 授权 账号 
ats SEIS EI ee ees bs 

| host | user | 

jon oe Se melt ee i le ma pr i um PEE d 

| 127.0.0.1 | roct | 

| 192.168.233.2 | jerry | //jerry 用 户 远程 管理 授权 
| localhost | | 

| localhost | jerry | //jerry 用 户 本 机 管理 授权 
| localhost | root | 

| 

| 


7 rows in set (0.00 sec) 
mysql» quit / NBH MySQL 


Bye 
[root@localhost ~]# 


查看 用 户 权限 


不 是 每 个 用 户 都 拥有 所 有 的 管理 权限 ,如 何 得 知 目前 登录 的 用 户 权 限 呢 ? 以 下 示例 说 明 如 
何 查看 jery 用 户 的 权限 ， 及 目前 登录 用 户 的 权限 。 
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[root@localhost ~]# mysql -u root -p 

Enter password: 

Welcome to the MySQL monitor. Commands end with ; or Mg. 
Your MySQL connection id is 4 

Server version: 5.1.52 Source distribution 


Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. 
This software comes with ABSOLUTELY NO WARRANTY. This is free 


Software,and you are welcome to modify and redistribute it under the GPL 
v2 license 


Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 


mysql> SHOW GRANTS FOR jerry@localhost; [IEF jerry 用 户 本 地 权限 
也 可 以 输入 IP 地 址 


| GRANT ALL PRIVILEGES ON *.* TO 'jerry'@'localhost' | 
| IDENTIFIED BY PASSWORD '*5AF7FOC8FBF51E7D12F5BFBB4A39032C91A | 
| 10106' | 


1 row in set (0.00 sec) 


mysql» SHOW GRANTS; // 查 看 当前 登录 用 户 权限 ， 目 前 只 有 root 登录 


| GRANT ALL PRIVILEGES ON *.* TO 'root'G'localhost' | 
| IDENTIFIED BY PASSWORD '*5AF7FOC8FBF51E7D12F5BFBB4A39032C91A | 
| 10106' WITH GRANT OPTION | 


+---------------------------------------------------------------------- 十 
1 row in set (0.00 sec) 

mysql» quit // 退 出 MySQL 
Bye 


[root@localhost ~]# 


删除 用 户 及 用 户 所 有 权限 


当 用 户 离职 或 不 使 用 MySQL 数 据 库 后 ， 就 必须 将 该 账号 删除 ， 以 免 增 加 MySQL 数 据 库 的 
风险 ， 以 下 示范 如 何 删除 用 户 及 该 用 户 权限 。 


MySQL 数据 库 授权 用 户 权限 指令 说 明 

Revoke 删除 

all privileges 所 有 管理 权限 
** 所 有 数据 库 


(BER) 
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MySQL 数据 库 授权 用 户 权限 指令 说 明 


Localhost 本 机 


192.168.233.2 远程 主机 了 P 地 址 
jerr 授权 用 户 


管理 权限 的 范例 是 所 有 权限 ， 可 根据 实际 情况 配置 。 


MySQL 数据 库 权限 一 

[root@localhost ~]# mysql -u root -p // 登 录 MySQL 
Enter password: 

Welcome to the MySQL monitor. Commands end with ; or Mg. 
Your MySQL connection id is 8 

Server version: 5.1.52 Source distribution 


Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. 
This software comes with ABSOLUTELY NO WARRANTY. This is free software, 
and you are welcome to modify and redistribute it under the GPL v2 license 


Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 


mysql> revoke all privileges on *.* from jerry@localhost; 

Query OK, 0 rows affected (0.00 sec) // 删 除 jerry 用 户 本 机 权限 

mysql> revoke all privileges on *.* from jerry@192.168.233.2; 
Query OK, 0 rows affected (0.00 sec) // 删 除 jerry 用 户 远程 登录 权限 
— …… 删 除 MySQL 数据 库 账 号 …-. 

mysql» use mysql; / AERE MySQL 

Reading table information for completion of table and column names 
You can turn off this feature to get a quicker startup with -A 


Database changed 
mysql> delete from user where User='jerry';// 删 除 jerry HP 
Query OK, 2 rows affected (0.00 sec) 


mysql» flush privileges; // 刷 新 数据 库 
Query OK, 0 rows affected (0.01 sec) 


mysql> select host,user from mysql.user;  // 检 查 用 户 是 否 还 存在 


+----------------------- +------ + 
| host | user | 
+----------------------- +------ + 
127.0.0.1 | root | 
localhost | | 


localhost.localdomain | | 


| 
| 
| localhost | root | 
| 
| localhost.localdomain | root | 


5 rows in set (0.00 sec) 
mysql> quit //i8t MySQL 
Bye 
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[root@localhost ~]# 


7.4 phpMyAdmin $38 ILA 


phpMyAdmin 官 方 网 站 : http://www.phpmyadmin.net/home page/index.php. 
phpMyAdmin 是 用 PHP 编 写 的 可 以 通过 Web 控 制 和 操作 MySQL 数 据 库 通过 phpMyAdmin 
可 以 完全 对 数据 库 进 行 操作 ， 如 创建 、 复 制 、 删 除数 据 库 等 。 


安装 phpMyAdmin 软 件 


phpMyAdmin 是 由 PHP 写 成 的 软件 ， 所 以 需要 用 到 PHP 软 件 ， 其 中 php-mysql 软 件 是 为 了 让 
PHP 可 以 连接 到 MySQL， 除 了 PHP 软 件 外 ， 由 于 phpMyAdmin 使 用 Web 方 式 管理 ， 所 以 也 要 安 
装 Apache 服 务 器 。 


[root@localhost ~]# yum install -y httpd php php-mysql php-mbstring 
Dependencies Resolved 


Installing: 

Httpd x86 64 2.2.15-5.e16.centos base 811 k 
Php x86 64 5.3.2-6.e16 0.1 updates 1.1 M 
php-mbstring x86_64 5-3-2-6-616 0.1 updates 504 k 
php-mysql x86_64 5.3.2-6.e16_0.1 updates 75 k 
Installing for dependencies: 

Apr x86_64 3.3.9-3.816 0.1 updates 124 k 
apr-util x86_64 1.3.9-3.e16_0.1 updates 87 k 
apr-util-ldap x86 64 1.3.9-3.e16 0.1 updates15 k 
httpd-tools x86_64 2.2.15-5.e16.centos base 68 k 
php-cli x86 64 5.3.2-6.616 0.1 updates 2.2 M 
php-common x86 64 5:3.2-6-616_ 0.1 updates 516 k 
php-pdo x86 64 5.3.2-6.e16 0.1 updates 72 k 


Transaction Summary 


Install 11 Package (s) 
Upgrade 0 Package (s) 
Total download size: 5.5 M 


安装 phpMyAdmin 


使 用 wget 命 令 下 载 phpMyAdmin 压 缩 文 件 ， 下 载 后 将 phpMyAdmin 压 缩 文件 解压 缩 ， 
phpMyAdmin 是 以 Web 方 式 管理 的 ， 所 以 要 把 解压 缩 后 的 phpMyAdmin 目 录 拷贝 到 Apache 网 页 
主 目录 下 ， 拷 贝 中 顺便 将 目录 名 称 改 成 phppMyAdmin， 然 后 进入 phpMyAdmin 目 录 ， 复 制 模 板 
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配置 文件 config.sample.inc.php 并 重 命 名 为 config.inc.php。 


[root@localhost ~]# wget 
http://sourceforge.net/projects/phpmyadmin/files/phpMyAdmin/3.5.2.2/phpMyAdmin-3.5.2.2 
-all-languages.tar.gz //¥% phpMyAdmin 压缩 文件 
[root@localhost ~]# tar -zxvf phpMyAdmin-3.5.2.2-all-languages.tar.gz 

// 解 压缩 
[root@localhost ~]# mv phpMyAdmin-3.5.2.2-all-languages 
/var/www/html/phpMyAdmin // 拷 贝 并 重 命名 
[root@localhost ~]# cd /var/www/html/phpMyAdmin 

// 进 入 phpMyAdmin 目录 
[root@localhost phpMyAdmin]# cp config.sample.inc.php config.inc.php 

// 找 贝 范例 配置 文件 


目前 phpMyAdmin 版 本 为 3.5.2.2。 


修改 config.inc.php 配 置 文件 


编辑 config.inc.php， 将 cookie 改 成 http。 


[root@localhost phpMyAdmin]# vi config.inc.php 
/* Authentication type */ 
$cfg['Servers'] [$i] ['auth type'] = 'http'; 


启动 Apache 服 务 


配置 完 phpMyAdmin 后 ， 需 要 开启 Apache 服 务 ， 这 样 就 能 正常 使 用 phpMyAdmin 了 。 


[root@localhost phpMyAdmin]# service httpd start // 启 动 Apache 
Starting httpd: [ ‘OK: 1 


配置 防火 墙 


phpMyAdmin 要 使 用 Apache 服 务 ， 所 以 必须 在 防火 墙 配置 中 开启 80 端 口 ， 这 样 才 可 以 对 外 
连接 ， 除 非 使 用 本 机 的 浏览 器 访问 ， 和 否则 其 他 计算 机 就 无 法 访问 。 


[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 
# Manual customization of this file is not recommended. 
*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 
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-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


防火 墙 配 置 完成 后 ， 必 须 重 新 启动 防火 墙 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: [ OK ] 
iptables: Setting chains to policy ACCEPT: filter [ OK ] 
iptables: Unloading modules: [ OK ] 

OK 


iptables: Applying firewall rules: 


使 用 phpMyAdmin 工 具 


使 用 前 先 检 查 MySQL 数 据 库 是 否 启动 ， 然 后 检查 MySQL 数 据 库 是 否 已 配置 用 户 密码 ， 
phpMyAdmin 必 须要 有 密码 才 可 以 使 用 。 
[root@localhost ~]# service mysqld status // 查 看 MySQL 启动 状态 
mysqld (pid 1550) is running... 
- 切 检查 完毕 后 ， 在 浏览 器 中 输入 【http:WIP 或 网 址 phpMyAdmin】 默认 以 root 账 号 登录 ， 
若 有 其 他 账号 需 先 配置 才 可 以 登录 。 
Windows 安全 [x] 
gr phpllyAdmin localhost 的 服务 器 192. 168. 233.240 要 求 用 户 名 和 密 
Lii i HRS EERPRUURSEORUSSCRUEGOSRI PELIS GARSER 


| 


Mi RAR 


[we ] ms | 


输入 账号 和 密码 后 ， 进 入 phpMyAdmin 主 界面 。 
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phpMyAdmin EE - r V — 
Jaze Qs &üt -R^ SS SSA faz bnt | fW ves 
282.954 


7.5 Navicat for MySQL 图 形 管理 工具 


虽然 可 以 使 用 命令 方法 管理 MySQL 数 据 库 ， 但 是 许多 管理 命令 不 是 每 个 管理 员 都 可 以 记 
得 住 的 ， 管 理 员 也 不 希望 这 么 麻烦 地 去 管理 数据 库 ， 所 以 就 要 靠 工具 进行 有 效 管理 。MySQL 
数据 库 管理 工具 也 很 多 ， 除 了 官方 提供 的 管理 工具 以 外 ， 许 多 人 还 使 用 历史 悠久 的 
phpMyAdmin LH, 但 是 phppMyAdmin 工 具 不 是 很 好 上 手 , 那 也 没关系 还 有 一 套 叫 做 Navicat for 
MySQL 的 管理 工具 。 

Navicat 官 方 网 站 : http://navicat.com/cn。 

Navicat for MySQL 为 远程 操作 MySQL 数 据 库 的 图 形 化 工具 ， 管 理 员 在 使 用 MySQL 数 据 库 
时 多 半 都 因为 众多 的 命令 而 退缩 ，phpMyAdmin 工 具 也 不 是 很 方便 使 用 ， 如 果 习 惯 Microsoft 
SQL Server 操 作 的 话 ， 那 就 使 用 Navicat ForMySQL， 其 使 用 方法 和 操作 与 Microsoft SQL Server 
相似 ， 这 样 就 比较 容易 上 手 。 

软件 下 载 网 址 : http://navicat.com/cn/download/download.html。 

该 软件 有 商业 版 与 免费 版 ， 但 是 都 可 以 使 用 ， 商 业 版 有 完整 的 功能 ， 不 过 有 30 天 限制 ， 免 
费 版 有 部 分 功能 限制 ， 两 者 功能 差异 在 于 备份 、 报 表 、 上 日程， 若是 只 是 单纯 操作 MySQL 数 据 
库 ， 免 费 版 的 功能 已 经 足够 了 。 


配置 远程 管理 账号 


要 远程 管理 MySQL 数据 库 必须 要 配置 远程 管理 账号 权限 ， 和 否则 就 算 有 账号 也 无 法 远程 登 
录 ， 先 登录 MySQL 数 据 库 主机 ， 授 权 root 用 户 允 许 耻 地 址 192.168.233.1 可 以 登录 MySQL 并 授予 
所 有 权限 。 


[root@localhost ~]# mysql -u root -p / [3E MySQL 
Enter password: 

Welcome to the MySQL monitor. Commands end with ; or Mg. 
Your MySQL connection id is 11 
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Server Version: 5.1.52 Source distribution 

Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. 
This software comes with ABSOLUTELY NO WARRANTY. This is free software, 

and you are welcome to modify and redistribute it under the GPL v2 license 


Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 
mysql> grant all privileges on *.* to root@192.168.233.1 identified by 'Aa1234567'; 
Query OK, 0 rows affected (0.00 sec) // 配 置 远程 管理 TP 地 址 

mysql> SHOW GRANTS FOR root@192.168.233.1; // 查 看 用 户 权限 


| GRANT ALL PRIVILEGES ON *.* TO 'root'@'192.168.233.1' IDENTIFIED BY PASSWORD 
'*5AF7FOC8FBF 1E7D12F5BFBB4A39032C91A10106' | 


1 row in set (0.00 sec) 
mysql> quit / DBili MySQL 


Navicat for MySQL 连 接 配 置 


这 里 是 使 用 完整 版 的 Navicat for MySQL， 如 下 图 所 示 ， 第 一 次 开启 没有 任何 连接 的 数据 
库 ， 要 连接 数据 库 ， 单 击 【连接 】。 
PISIS loa 
pd B d = : | 
H à |u- gsm 
| LEM * BE awe BF am LJ an Hans 


5 JÜA&Q ARHRD JACO TORAO PS\RED F 


创建 一 个 新 的 连接 窗口 ， 输 入 连接 名 称 、 主 机 名 或 MySQL 数 据 库 主 机 的 人 P 地 址 ， 端 口 默 
认为 3306， 远 程 连接 用 户 的 用 户 名 为 root， 输 入 连接 用 户 密码 ， 输 入 完毕 后 ， 在 单 击 【 确 定 】 
前 ， 先 按 【 连 接 测 试 】 做 连接 测试 。 


A [me | | ss jer | 


te ex 
E [nezas -—— — 
" [NM 
用 户 名 : Fe 
ze tf 
wR 
E: 确定 LA 
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出 现下 图 所 示 的 提示 ， 表 示 MySQL 数 据 库 连接 成 功 ， 就 可 以 确保 配置 正确 无 误 。 


à s 
[we] 


连接 成 功 后 ， 按 【确定 } 出 现 连 接 后 的 画面 ， 如 下 图 所 示 。 
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4 


展开 连接 项 目 后 ， 就 可 以 看 到 MySQL 数 据 库 内 的 所 有 数据 库 ， 数 据 库 图 标 呈 灰色 表示 未 
点 击 开启 。 
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展开 其 中 一 个 数据 库 后 ， 数 据 库 图 标 呈 绿色 ， 展 开 后 可 以 看 到 所 有 功能 选项 。 


TETEXDET 
文件 四 Eo IAD Bow aw 


d 县 2298757249 
EN SHF & | HH me 35 — ES — SR ü 39 BUR $8 - 
Lj ELONLLEL NE ED. La 
EEZ] Techans riv erves 
GQ onsin sh — || Ta Ban jn 
LU bE = 
fire tne sone 
awe genera by re zove eso second 
Q pine heb ceom tre soe pone 
ost he keyacrd Eltre zone brareten 
a d Sine eerste 
heb topic 
ius Ed 
gie | Indo briog dec 
Ip 
pee 
司 pos pw 
ED Ad BP ret SRR ore 4 


109 


CentOS 6.x 系统 管理 实战 宝典 


免费 版 本 有 功能 限制 ， 如 报表 、 备 份 、 计 画 任务 等 功能 。 


@Navicat 8 for MySQL 
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FTP 一 一 文件 服务 器 


FTP (File Transfer Protocol) 即 文件 传输 协议 ， 可 以 在 不 同 的 计算 机 之 间 传 输 不 同类 型 的 
文件 ， 如 果 要 在 两 台 不 同 的 计算 机 之 间 传 输 文 件 ， 两 者 必须 要 使 用 相同 的 FTP 协 议 才 行 。FTP 
协议 是 用 来 规范 不 同 计算 机 传输 文件 的 共同 协议 , 任何 计算 机 只 要 遵循 此 协议 , 就 可 以 和 其 他 
不 同 的 计算 机 相互 传输 文件 。 通 过 FTP 服 务 就 可 以 在 任何 两 台 计 算 机 (不 论 是 否 为 相同 的 操作 
系统 ) 之 间 互 相传 输 文件 。 


8.1 安装 vsftpd 


vsftpd 全 名 为 Very Secure FTP Daemon， 是 一 款 安全 性 比较 高 的 FTP 软 件 ， 一 般 的 Linux 操 
作 系 统 都 会 使 用 此 软件 ， 以 下 介绍 如 何 安装 vsftpd 及 其 基本 的 配置 。 


检查 vsftpd 软 件 
检查 是 否 已 经 安装 vsftpd 软 件 ， 如 果 没有 任何 信息 ， 需 自行 安装 。 


[root@localhost /]# rpm -qa | grep vsftpd 
vsftpd-2.2.2-6.e16 0.1.x86 64 


vsftpd 安 装 


安装 vsftpd 软 件 ， 最 简单 的 方法 是 以 yum 在 线 更 新 进行 安装 ， 如 果 使 用 源 代码 编译 安装 需 
要 到 官网 下 载 安装 文件 。 


[root@localhost /]# yum install vsftpd -y //%#vsftpd 
Dependencies Resolved 
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Installing: 
vsftpd x86 64 2.2.2-6.e16_0.1 updates 150 k 
Transaction Summary 


Install 1 Package (s) 
Upgrade 0 Package (s) 
Total download size: 150 k 


配置 防火 墙 


Vsftpd 软 件 安装 完成 后 ， 默 认 端 口 是 21， 所 以 需 在 防火 墙 配置 中 开启 21 端 口 ， 这 样 才 可 以 
对 外 连接 。 


[root@localhost /]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT 


//FTP 端口 


-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 


防火 墙 配置 完成 后 ， 必 须 重 新 启动 防火 墙 服务 ， 配 置 才 会 生效 。 


[root@localhost /]# service iptables restart 


iptables: Flushing firewall rules: [ OK ] 
iptables: Setting chains to policy ACCEPT: filter [ OK ] 
iptables: Unloading modules: [X0K | 
iptables: Applying firewall rules: [ OK ] 


启动 前 的 配置 


以 下 两 个 操作 需 在 启动 前 进行 配置 ， 如 果 没 有 配置 则 无 法 正常 登录 vsftpd 服 务 器 ， 如 果 使 
Hi CentOS 6x 之 前 的 版 本 则 只 需要 关闭 SELinux。 

第 一 个 命令 是 解除 SELinux 保 护 否则 无 法 读 取 FTP 目 录 , 输入 命令 后 , 显示 提示 信息 Could 
not change active booleans: Invalid Boolean， 表 示 解 除 成 功 ， 如 果 不 提示 此 信息 代表 解除 失败 ， 
再 查看 命令 是 否 输 入 错误 ， 解 除 成 功 后 ， 继 续 输 入 第 二 个 命令 ， 这 个 命令 会 执行 一 分 钟 左 右 ， 
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成 功 后 也 不 会 有 任何 提示 信息 。 


[root@localhost ~]# setsebool ftpd disable trans 1 
Could not change active booleans: Invalid Boolean 
[root@localhost ~]# setsebool -P ftp home dir-1 


如 果 没 有 执行 第 二 个 操作 ， 当 连接 到 FTP 服 务 器 时 ， 会 出 现 无 法 列 出 服务 器 目录 的 情况 。 


500 OOPS: cannot change directory:/home/jerry 
500 OOPS: 500 OOPS: child died 
远程 主机 已 关闭 连接 。 


为 了 减少 vsftpd 服 务 使 用 中 一 些 不 必要 的 麻烦 ， 建 议 将 SELinux 关 闭 。 

CentOS 6.x 之 前 的 vsftpd 版 本 ， 连 接 方式 默认 为 被 动 模式 (Passive Mode), CentOS 6.x 之 后 
的 vsftpd 版 本 ， 必 须 经 过 配置 ， 否 则 以 主动 模式 (Active Mode) 连接 ， 在 vsftpd.conf 配 置 文件 
中 添加 参数 pasv_enable=no， 此 操作 不 一 定 需 要 ， 按 自己 的 需求 配置 即 可 ， 建 议 配 置 为 被 动 模 
XX (Passive Mode)， 因 为 大 部 分 的 FTP 连 接 软件 默认 都 是 以 被 动 模式 连接 的 ， 如 FileZilla 等 软 
件 。 

[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf 

pasv_enable=no // 将 服务 配置 为 被 动 模式 


Eg] 


CentOS 6.0 默 认为 vsftpd-2.2.2，CentOS 5.5 为 vsftpd-2.0.5。 


启动 vsftpd 服务 


确定 vsftpd 软 件 已 正确 安装 ， 接 下 来 就 是 启动 服务 ， 启 动 完 成 后 ， 检 查 vsftpd 软 件 是 否 监 听 
21 端 口 ， 为 了 使 用 方便 ， 建 议 将 vsftpd 服 务 设 为 默认 启动 。 


[root@localhost /]# service vsftpd start // 启 动 vsftpd 服务 
Starting vsftpd for vsftpd: OK aed) 
[root@localhost /]# chkconfig vsftpd on // 将 vsftpd 配置 为 默认 启动 
[root@localhost /]# netstat -tunlp | grep vsftpd // 检 查 vsftpd 运行 状态 
tcp 0 0 0.0.0.0:21 [EUER À LISTEN 4120/vsftpd 
下 表 为 vsftpd 的 基本 操作 。 
服务 状态 命令 
启动 vsftpd 服务 service vsftpd start 
关闭 vsftpd 服务 service vsftpd stop 
重新 启动 vsftpd 服务 service vsftpd restart〈 将 服务 停止 后 ， 再 重新 启动 服务 ) 


ligi 


和 新 读 取 vsftpd 配 置 文 件 | service vsftpd reload (重新 读 取 服务 器 的 配置 文件 ) 
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8.2 修改 默认 端口 


FTP 服务 的 默认 端口 为 21， 为 了 服务 器 的 安全 性 ， 通 常 都 会 在 安装 好 后 进行 修改 ， 那 为 什 
么 Apache 安 装 好 后 较 少 修改 80 端 口 呢 ? 原因 是 用 户 在 浏览 器 中 输入 网 址 时 ， 不 会 加 上 端口 号 
码 ， 但 是 FTP 服 务 除 了 可 以 以 匿名 方式 连接 ， 也 可 以 使 用 用 户 验 证 方式 连接 ， 前 提 是 需 告诉 用 
户 连接 的 人 地 址 、 账 号 、 密 码 和 修改 后 的 连接 端口 ， 所 以 才 说 Web 较 少 修改 ，FTP 服 务 常常 修 
改 ， 不 过 建议 进行 Web 修 改 ， 降 低 服务 器 风险 。 


配置 端口 


vsftpd 默 认 端 口 就 是 21， 配 置 文件 内 没有 修改 端口 的 参数 ， 需 在 最 后 一 行 添加 
listen_port=port，port 是 端口 号 ， 这 里 输入 端口 为 2112， 输 入 完成 后 保存 退出 。 


[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf // 修 改 vsftpa 配置 文件 
listen port=2112 // 修 改 后 的 端口 


配置 防火 墙 


Vsftpd 服 务 默认 端口 为 21， 如 果 要 修改 端口 ， 则 也 需要 修改 防火 墙 配置 ， 以 便 开启 修改 后 
的 端口 ， 这 样 才 能 对 外 连接 。 


[root@localhost /]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp -dport 22 -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 2112 -j ACCEPT 
// 修 改 后 的 端口 

-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


防火 墙 配置 完成 后 ， 必 须 重新 启动 防火 墙 服务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: Eo OR 
iptables: Setting chains to policy ACCEPT: filter OR] 
iptables: Unloading modules: [| 
iptables: Applying firewall rules: [ OK ] 
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重新 启动 vsftpd 


Vsftpd 配 置 完 成 后 保存 退出 ， 必 须 重新 启动 vsftpd 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service vsftpd restart 


Shutting down vsftpd: L O] 

Starting vsftpd for vsftpd: [ OK ] 
ME E 

测试 vsftpd 端 口 


使 用 FileZilla 软件 连接 FTP 服 务 时 ， 输 入 界面 将 端口 改 成 2112， 然 后 连接 FTP 服 务 ， 会 显 
示 连 接 成 功 信息 ， 如 下 图 所 示 。 


状态 ;正在 连接 192.168.233.240:2112... 


us: 连接 建立 ， 等 待 欢迎 消息 … 


如 果 FileZilla 连 接 时 未 将 端口 修改 为 2112， 则 会 出 现 无 法 连接 到 服务 器 的 错误 信息 ， 如 下 
图 所 示 。 


:正在 连接 192.168.233.240:21... 
x 尝试 连接 "ECONNREFUSED - Connection refused by server” fiir o 


误 ， 无 法 连接 到 服务 器 
x Ife. 


8.3 限制 上 传 下 载 带宽 


FTP 服 务 器 的 使 用 效率 与 服务 器 带宽 有 一 定 的 关系 ， 除 非 你 的 带宽 没有 限 速 ， 不 然 还 是 
限制 一 下 每 位 用 户 上 传 下 载 的 带宽 ， 配 置 文件 中 的 anon_max_rate 参 数 用 于 限制 匿名 用 户 传输 
率 ，local_max_rate 参 数 用 于 限制 本 机 用 户 传输 率 ， 这 里 为 本 机 用 户 ， 编 辑 vsftpd 配 置 文件 ， 默 
认 没 有 local_max_rate 参 数 ， 需 要 在 配置 文件 的 最 后 一 行 添加 ， 这 里 限制 本 地 用 户 上 传 下 载 都 
使 用 300KB， 这 样 上 传 下 载 都 会 以 300KB 的 速度 传输 。 


[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf 
local max rate=300000 // 限 制 本 地 用 户 上 传 下 载 为 300K 


| eW . .. 4 
1KB=1000 Btyes. 


配置 完成 后 保存 退出 ， 重 新 启动 vsftpd 服 务 ， 这 样 配置 才 会 生效 。 


[root@localhost ~]# service vsftpd restart 
Shutting down vsftpd: Doro 
Starting vsftpd for vsftpd: It | 
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测试 上 传 下 载 带宽 
使 用 较 大 的 文件 进行 测试 , 如 下 图 所 示 , 速度 一 般 都 会 维持 在 300KB 左 右 , 这 代表 配置 成 功 。 


PARSHA 
(f jerryetg2. 169.233. 240 
H:ALinux IC v3.2. iso 一 》 flinm IC ¥3.2. iso 23838 一 般 ERE 
BRA 00:00:31 — $5 03:50:30 9,633,792 字 节 (305.8 KB/s) 


8.4 配置 特定 用 户 的 带宽 


FTP 限 制 带宽 是 重要 的 ， 不 过 每 个 人 都 配置 相同 带宽 ， 在 内 网 环境 中 或 许 是 允许 的 ， 但 是 
在 实际 工作 环境 中 ， 需 要 给 有 些 特殊 用 户 配 置 特 殊 的 带宽 ， 所 以 配置 每 个 用 户 使 用 不 同 带宽 也 
是 管理 带宽 的 方法 ， 编 辑 vsftpd 配 置 文件 ， 必 须 创 建 管理 用 户 带宽 的 配置 文件 目录 ， 默 认 没有 
此 行 ， 需 在 配置 文件 中 添加 ， 配 置 完成 后 保存 退出 。 


[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf 
user config dir-/etc/vsftpd/limit // 创 建 管理 用 户 带宽 的 配置 文件 目录 


: El 
| 管理 用 户 带宽 的 配置 文件 路 径 可 以 自行 配置 | 


配置 文件 中 指定 的 用 户 管理 配置 文件 需要 在 /etc/vsftpd 目 录 下 创建 名 称 为 limit 的 文件 夹 ， 
默认 /etc/vsftpd 目 录 下 没有 此 文件 夹 ， 所 以 必须 自行 创建 ， 这 里 要 限制 ken 用 户 只 能 以 300KB 的 
速度 上 传 下 载 ， 必 须 创建 针对 ken 用 户 带 宽 限 制 的 配置 文件 。 


[root@localhost ~]# mkdir /etc/vsftpd/limit // 创 建 管理 用 户 带宽 的 配置 文件 文件 来 
[root@localhost ~]# vi /etc/vsftpd/limit/ken // 创 建 针对 ken 用 户 带宽 限制 的 配置 文件 
local max rate=300000 // 配 置 ken 用 户 带宽 300KB 


配置 前 先 确认 服务 器 有 ken 用 户 。 


配置 完成 后 保存 退出 ， 重 新 启动 vsftpf 服 务 ， 这 样 配置 才 会 生效 。 


[root@localhost ~]# service vsftpd restart 


Shutting down vsftpd: [ok] 
Starting vsftpd for vsftpd: [ok | 
测试 特定 用 户 的 带宽 


以 账号 ken 登 录 ， 测 试 是 否 有 限制 带宽 ， 限 制 传输 带宽 大 约 为 300KB。 
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p] ken@192. 168. 233. 240 


H: \Cent0S-6.0-x86_64-... — ——2? — /home/ken/CentÜS-8.0-x88 ... 4,238,980... 一 般 正在 传输 
已 耗 时 00:00:31 — 剩余 03:50:30 0.2% 9,633,792 字 节 (305.8 KB/s) 


以 账号 jermry 登 录 ， 该 用 户 没有 限制 带宽 ， 传 输 带宽 到 达 29.3MB， 代 表 配置 成 功 。 


J jerryl92, 168. 233, 240 
H:\ent0S-6.0-x86_64-... 一》 fCentOS-6.0-x86_64-binrDV... 4235,80... —ft 正在 传输 
ERR 00:00:18 HE 00:02:06 592, 642,048 ZË (29.3 MB/s) 


8.5 限制 客户 端 可 连接 的 IP 地 址 


FTP 主 机 可 以 限制 客户 端 可 连接 的 网 段 或 IP， 利 用 tcp_wrappers、hostdeny 及 host.allow 参 数 
来 限制 ， 这 里 配置 为 限制 所 有 网 段 都 不 可 以 连接 ， 只 有 192.168.233 的 网 段 才 可 以 连接 ， 先 确定 
配置 文件 中 tcp_wrappers 参数 的 配置 是 否 为 YES，vsftpd 默 认 就 为 YES， 如 果 为 NO， 则 会 对 
host.deny 及 host.allow 文 件 有 影响 。 


[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf 
tcp wrappers-YES // 检 查 是 否 为 YES 


首先 配置 host.deny 文 件 ， 限 制 所 有 网 段 都 不 能 连接 ， 配 置 完成 后 ， 保 存 退 出 。 
[root@localhost /]# vi /etc/hosts.deny // 编 辑 限制 配置 文件 


# 

# hosts.deny This file contains access rules which are used to 
# deny connections to network services that either use 
# the tcp wrappers library or that have been 

# started through a tcp_wrappers-enabled xinetd. 

# 

# The rules in this file can also be set up in 

# /etc/hosts.allow with a 'deny' option instead. 

# 

# See 'man 5 hosts options' and 'man 5 hosts access' 
# for information on rule syntax. 

# See 'man tcpd' for information on tcp wrappers 

# 

vsftpd:all:Deny // 限 制 所 有 网 段 都 不 可 以 连接 


接 下 来 编辑 host.allow 文 件 ， 人 允许 192.168.223 网 段 可 以 连接 ， 配 置 完 成 后 ， 保 存 退 出 ， 由 
于 不 是 修改 vsftpd 配 置 文件 ， 所 以 无 需 重新 启动 vsftpd 服 务 。 


[root@localhost /]# vi /etc/hosts.allow // 编 辑 允许 连接 的 配置 文件 


# 

# hosts.allow This file contains access rules which are used to 

# allow or deny connections to network services that 

# either use the tcp_wrappers library or that have been 
# started through a tcp wrappers-enabled xinetd. 
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# 

# See 'man 5 hosts options' and 'man 5 hosts access' 
# for information on rule syntax. 

# See 'man tcpd' for information on tcp_ wrappers 

# 

vsftpd:192.168.233.*:Allow // 开 放 192.168.233 网 段 可 以 连接 


测试 限制 IP 地 址 是 否 成 功 


配置 完成 后 测试 限制 是 否 成 功 ， 先 测试 192.168.233 网 段 以 外 的 也 地 址 ， 打 开 浏 览 器 输入 
vsftpd 服 务 器 的 卫 地 址 ， 出 现 输入 用 户 名 和 密码 界面 ， 如 下 图 所 示 , 无论 输入 几 次 都 无 法 进入 ， 
就 代表 host.deny 生 效 。 


ge BSSTRTESER . METRES Sie 


LL: d 192 168 233 240 
用 户 名 中: | 
BO: 
ERE, TUE REREMECOKRR, UL RES RUE EI. 
A HLEPERSUBSNIHTUSEADTENEG. ERI TUTNE 
进一步 了 解 使 用 no THE. 
T ESX*O T See 


Lxro] » | 
用 命令 提示 符 连接 FTP 服 务 器 会 出 现 连接 中 断 信息 。 


C:\Documents and Settings\Administrator>ftp 192.168.233.240 
Connected to 192.168. 233.240. 

421 Service not available. 

Connection closed by remote host. 


接 下 来 测试 192.168.233 的 网 段 ， 在 浏览 器 中 输入 vsfppd 服 务 器 下 地 址 ， 输 入 用 户 名 和 密码 
后 ， 即 可 以 正常 登录 操作 ， 如 下 图 所 示 ， 这 代表 hostallow 也 生效 了 。 
| 37 X9c- 


Jam e” 


FP jer [EE 


日 命令 提示 符 连接 ， 输 入 用 户 名 和 密码 后 可 以 正常 登录 。 
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C:\>ftp 192.168.233.240 — 
Connected to 192.168.233.240. » ees aS E A 
220 (vsftpd 2.2.2) > ba Se 


: 220 Welcome to blah FTP service. 
User (192.168.233.240: (none) ) : anonymous 
331 Please specify the password. 
Password: 


230 Login successful. ub: 正在 等 待 重 试 … 
ftp» 


5: 正在 连接 192.168.233.240:21. 
» 连接 建立 ， 等 待 欢迎 消息 


向 应 : 220 Welcome to blah FTP service. 


8.6 限制 黑 名 单 用 户 RI. 333 Pene spec the password 


: PASS *** 
向 应 : 230 Login successful. 


Vsftpd 有 配置 黑 名单 功 能 ， 可 以 限制 服务 器 内 哪些 用 户 不 能 登 [ss oco always n UTES mods 
录 ， 为 什么 要 限制 用 户 不 能 登录 呢 ? 原因 是 主机 内 有 很 多 用 户 ， 不 EE entr. 
- 定 每 个 用 户 都 可 以 登录 FTP 主 机 ， 不 过 删除 账号 又 可 能 影响 其 他 fs cz oreren" 
服务 的 运行 ， 所 以 就 将 其 加 入 黑 名 单 ， 在 登录 FTP 时 就 会 依照 黑 名 单 信息 拒绝 登录 。 系 统 默认 
已 经 将 一 些 与 FTP 无 关 的 账号 加 入 在 内 ， 配 置 文件 内 的 userlist enable 参数， 默认 为 YES， 是 为 
了 限制 系统 黑 名 单 用 户 登录 ， 如 果 设 为 NO 就 不 会 去 检查 黑 名 单 。 


[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf 
userlist enable-YES // 默 认为 YES， 如 果 为 NO， 则 黑 名 单 不 生效 


默认 限制 的 账号 ， 其 实 都 是 系统 内 建 的 账号 ， 都 没有 必要 登录 FTP， 最 重要 的 是 root 也 限 
制 在 内 ， 这 样 主机 比较 安全 ， 这 里 加 入 了 jerry 为 限定 用 户 。 


[root@localhost ~]# vi /etc/vsftpd/user list // 编 辑 黑 名 单 
# vsftpd userlist 

# If userlist deny=NO, only allow users in this file 

# If userlist deny-YES (default) , never allow users in this file, and 
# do not even prompt for a password. 

# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers 
# for users that are denied. 

root 

bin 

daemon 

adm 

lp 

sync 

shutdown 

halt 

mail 

news 

uucp 

operator 

games 

inobody 


jerry // 新 增 的 限制 帐号 


测试 黑 名 单 
使 用 jery 账 号 登录 ， 测 试 是 否 生效 ， 如 果 成 功 会 出 现 530 Permission denied 无 法 登录 。 
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使 用 tom 账 号 登录 ， 直 接 就 可 以 登录 成 功 。 
因为 该 用 户 没 有 在 黑 名 单 中 。 


8.7 人 允许 匿名 登录 ， 不 允许 普通 用 户 登录 


通常 FTP 主 机 为 公用 的 服务 ， 主 机 默认 配置 使 用 匿名 登录 ， 不 开放 普通 用 户 ， 主 要 是 为 防 
止 普通 用 户 登 录 后 ， 对 其 他 用 户 的 目录 做 错误 操作 。 

匿名 用 户 anonymous_enable 参 数 及 普通 用 户 local _ enable 参数 默认 为 YES， 都 是 允许 登录 ， 
将 普通 用 户 local_ enable 参数 设 为 NO， 普 通用 户 就 无 法 登录 。 
[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf 
# Allow anonymous FTP? (Beware - allowed by default if you comment this out) . 


anonymous enable-YES // 默 认为 YES， 启 用 匿名 登录 ， 设 为 NO 则 关闭 

# 

# Uncomment this to allow local users to log in. 

local enable-NO // 默 认为 YES， 启 用 普通 用 户 登录 ， 设 为 NO 则 关闭 


配置 完成 后 ， 必 须要 重新 启动 vsftpd 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service vsftpd restart 
Shutting down vsftpd: OK 
Starting vsftpd for vsftpd: [ OK ] 


测试 是 否 已 禁止 普通 用 户 登录 


以 账号 jerry 登 录 ， 系 统 则 会 出 现 530 This FTP server is anonymous onlyfi k, 68] AAA 
Canonymous) 账号 才 可 以 登录 ， 该 用 户 无 法 登录 FTP 服 务 器 。 
c:\Users\jerry>ftp 192.168.233.240 
已 连接 到 192.168.233.240. 
220 (vsftpd 2.2.2) 
用 户 (192.168.233.240: (none) ) : jerry 


530 This FTP server is anonymous only. // 只 有 匿名 可 以 登录 
登录 失败 。 


以 匿名 账号 登录 ， 系 统 则 出 现 230 Login successful， 表 示 匿 名 登录 成 功 。 


C:\Users\jerry>ftp 192.168.233.240 

已 连接 到 192.168.233.240. 

220 (vsftpd 2.2.2) 

用 户 (192.168.233.240: (none) ) : anonymous 
331 Please specify the password. 

密码 : 


230 Login successful. 


- Egi 


匿名 用 户 登录 FTP 服 务 器 时 需要 输入 默认 匿名 用 户 名 ( anonymous )， 不 用 输入 密码 。 
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8.8 禁止 匿名 登录 


默认 匿名 用 户 anonymous 可 以 登录 FTP， 不 过 通常 为 了 安全 性 都 会 禁止 匿名 用 户 登 录 ， 为 
方便 管理 ，anonymous_enable 参 数 默 认为 YES 启 动 ， 将 之 设 为 NO 禁止 ， 匿 名 用 户 就 无 法 登录 。 


[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf 

# Allow anonymous FTP? (Beware - allowed by default if you comment this out) . 
anonymous enable-NO // 默 认为 YES 允许 匿名 用 户 登录 ，NO 则 匿 用 户 名 无 法 登录 

# 

# Uncomment this to allow local users to log in. 

local_enable=YES 


配置 完成 后 ， 必 须要 重新 启动 vsftpd 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service vsftpd restart 
Shutting down vsftpd: [OX T 
Starting vsftpd for vsftpd: [ OK ] 


测试 是 否 已 禁止 匿名 用 户 登录 


使 用 匿名 用 户 登 录 ， 输 入 匿名 用 户 名 anonymous 即 出 现 S30 Login incorrent 错 误 信 息 ， 该 信 
息 表 示 匿 名 用 户 无 法 登录 。 


应 220 Welcome to blah FTP service, 
Has: USER anonymous 


向 应 6s) Pees edi ie peers 


8.9 限制 一 个 IP 连 接 的 数量 


限制 每 个 他 的 连接 数 是 必要 的 ， 如 果 一 个 下 地 址 对 主机 连接 太 多 ， 只 会 让 主机 耗费 不 必要 
的 资源 ， 不 过 在 配置 时 要 考虑 一 下 FTP 是 配置 在 内 部 还 是 在 公 网 上 使 用 ， 因 为 很 多 公 网 也 对 应 
内 网 多 个 内 部 耻 ， 所 以 对 连接 数 的 设置 就 要 有 所 考虑 ，vsftpd 配 置 文件 默认 没有 限制 连接 数量 
〈 数 字 0 代 表 无 限制 )， 或 者 根本 没有 此 行 ， 自 己 在 最 后 一 行 加 入 max_per_ip= 连 接 数 即 可 ， 这 
里 设 为 ?9， 一 个 IP 超 过 3 个 连接 数 就 无 法 登录 。 
[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf 
max per ip-3 // 配 置 连接 数量 


配置 完成 后 ， 必 须要 重新 启动 vsftpd 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service vsftpd restart 
Shutting down vsftpd: L OK 1 
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Starting vsftpd for vsftpd: [ OK ] 


测试 连接 数量 


使 用 FileZilla FTP Client 进 行 连接 , 在 第 四 个 连接 时 , 出 现 421 There are too many connections 
from your internet address 信 息 ， 这 时 必须 将 其 他 连接 关闭 才 可 以 连 上 FTP。 


5: 正在 连接 102.160.233.240:21... 

5: 连接 建立 ， 等 待 欢迎 消息 … 
向 应 : 421 There are too many connections from your internet address, 
错误 ， 无 法 连接 到 服务 器 


正在 等 待 重 试 … 

Ras: 正在 连接 192.169,233.240:21.., 
:连接 建立 ， 等 待 欢迎 消息 … 

向 应 : 421 There are too many connections from your internet address. 
;无 法 连接 到 服务 器 


加 | 说明， 


在 vsftpd.conf 中 配置 max_clients= 连 接 数 ， 与 配置 max_per_ip= 连 接 数 结果 相同 。 


8.10 限制 空闲 时 间 过 久 即 断 线 


不 管 何 种 服务 器 , 很 多 连接 上 来 的 用 户 都 会 在 空闲 状态 下 一 直 连 接 ， 这 样 会 消耗 主机 的 资 
源 ， 所 以 就 有 必要 配置 空闲 时 间 过 久 的 连接 必须 中 断 ， 默 认 秒 数 为 300，idle_session_timeout= 
300， 但 是 该 行 没 有 启用 ， 需 要 删除 # 号 ， 这 里 配置 空闲 30 秒 没有 任何 操作 即 中 断 连 接 ， 将 批注 
# 号 删除 ， 并 将 秒 数 设 成 30， 然 后 保存 退出 。 
[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf 


# You may change the default value for timing out an idle session. 


idle session timeout-30 // 默 认 不 启用 ， 秒 数 为 300 秒 修改 为 30， 删 除 # 号 启动 


配置 完成 后 ， 必 须要 重新 启动 vsftpd 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service vsftpd restart 
Shutting down vsftpd: [ OK ] 
Starting vsftpd for vsftpd: [OKT 


测试 闲置 30 秒 后 是 否 中 断 连 接 


以 jerry 账 号 登录 后 ， 不 做 任何 动作 等 待 30 秒 。 
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POE T 019m [- [emee ae s0] 


fip: 150 Here comes the drectary stng, 


IHR suem 
128,6. Wal... MYD -n 


Em aaf peso] 


Sek 2012/8/30 
LA. Win... 2012/8/30 


假如 没有 关闭 连接 ， 原 因 是 目前 FTP 连 接 软件 会 自动 帮 你 重新 连接 ， 永 不 关闭 ， 以 FileZilla 
FTP Client fl, 在 【设置 ] 的 【选择 页 面 ] 中 选择 【 连接】 下面 的 [FTP】 选 项 在 [FTP Keep-alive】 
中 勾 选 【发 出 FTP 保 持 连 接 指令 】 就 不 会 断 线 。 


[ fist 
C ihe) 
C 主动 [A) 


经 过 测试 发 现 确实 有 自动 连接 现象 FTP 软件 每 隔 一 段 时 间 就 会 自动 保持 连接 ， 为 了 提高 
FTP 效 率 ， 建 议 关 闭 空闲 连接 ， 如 果 vsftpd 配 置 了 Client 连 接 数 的 话 ， 太 多 用 户 连接 在 上 面 ， 也 
会 导致 其 他 用 户 无 法 登录 。 
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EBV: peee ane: 


ESO |7 


8.11 禁止 用 户 切换 目录 


配置 FTP 服 务 后 ， 某 些 情况 下 ， 只 能 允许 用 户 看 到 自己 的 目录 而 不 能 浏览 其 他 目录 ， 所 以 
就 必须 做 些 配置 ， 和 否则 默认 情况 下 ，FTP 用 户 拥 有 读 取 主 机 上 其 他 目录 的 权限 ， 为 了 服务 器 的 
安全 还 是 配置 该 用 户 只 能 浏览 自己 的 目录 ，CentOS 6.0 默 认 有 此 配置 但 未 启用 ，CentOS 6.0 以 


前 的 版 本 必须 自行 输入 。 


限制 所 有 用 户 不 可 以 切换 目录 


编辑 vsftpd 配 置 文件 ， 先 找到 chroot_local_user 这 一 行 ， 将 # 号 删除 。 


[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf 


# You may specify an explicit list of local users to chroot () to their home 
# directory. If chroot local user is YES, then this list becomes a list of 


# users to NOT chroot () . 


chroot local user-YES // 默 认 不 启用 ， 将 # 号 删除 后 启用 


配置 完成 后 ， 必 须要 重新 启动 vsftpd 服 务 ， 配 置 才 会 生效 。 
[root@localhost ~]# service vsftpd restart 


Shutting down vsftpd: 
Starting vsftpd for vsftpd: 


测试 是 否 已 限制 所 有 用 户 切 换 目录 


目前 home 目 录 下 有 两 个 用 户 jerry 和 tom。 


[root@localhost ~]# 11 /home 


total 8 
drwx------ . 3 jerry jerry 4096 Aug 20 08:51 jerry 
drwx------ . 2 tom tom 4096 Aug 20 11:08 tom 
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利用 FIP 连接 软件 FileZilla FTP Client 进 行 连接 ， 默 认 vsftpd 配 置 文件 中 没有 加 上 


chroot_local_user=YES, 或 者 将 此 参数 值 修改 为 NO 时 ， 可 以 显示 完整 的 目录 路 径 ， 以 jery 登 录 
就 会 有 /home/jerry 完 整 目 录 路 径 。 


im [21022220 ABU ferr rr E 


Vsftpd 配 置 文件 中 加 上 chroot_ local user=YES 后 ， 不 管 以 哪个 用 户 登 录 都 只 能 看 到 该 用 户 
的 目录 ， 如 下 图 所 示 ， 无 法 切换 到 其 他 用 户 的 目录 。 
| Ene: [52150233240 用 PS hom w pe w [ea 
[SO Here comes the drectory isting. 


RD: 列 出 目录 成 功 


Jery 192.168.233.240 X|t0m0192.158233240 x 


空 目录 列表 


如 果 要 强制 切换 到 其 他 用 户 目 录 下 ,会 出 现 错误 信息 550 Failed to change directory， 若 jerry 
账号 要 强制 切换 到 /home/tom 下， 会 提示 读 取 目 录 列 表 失 败 。 


命令 ; CWD /home/tom 
向 应 ; 550 Faled to change directory. 
异 误 ， 读 取 目 录 列表 失败 


tom@192.168.233.240 x  jerry192.168.233.240 x 
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限制 特定 用 户 不 可 以 切换 用 户 目 录 


上 述 方式 是 限制 所 有 FTP 登 录 的 用 户 都 不 能 切换 到 其 他 用 户 目录 ， 假设 要 配置 特定 用 户 不 
可 以 切换 ， 就 要 配置 禁止 名 单 ， 建 议 FTP 主 机 配置 所 有 用 户 都 不 能 切换 目录 ， 若 要 配置 特定 用 
户 不 能 切换 就 要 编辑 两 个 文件 vsftpdconf 和 chroot list, ， 先 编辑 vsftpdconf f 
chroot list_enable=YES 的 # 号 删除 ， 然 后 保存 退出 。 


[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf 
chroot list enable-YES // 默 认为 不 启用 ， 删 除 # 号 则 启用 


在 /etc/vsftpd 下 创建 一 个 chroot_list 文 件 ， 添 加 要 禁止 的 用 户 ， 这 里 输入 jerry 作 为 禁止 切换 
目录 的 用 户 名 单 。 


[root@localhost ~]# vi /etc/vsftpd/chroot list 
jerry 


配置 完成 后 ， 必 须 重 新 启动 vsftpd 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service vsftpd restart 
Shutting down vsftpd: | —T 
Starting vsftpd for vsftpd: [| 


测试 是 否 已 限制 单一 用 户 切 换 目录 


以 Tom 账 号 登录 ， 可 以 显示 /home/tom 完 整 路 径 。 


以 Jerry 账 号 登录 后 ， 只 能 看 到 Jerry 根 目录 。 
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| a: [192.168.233.240 meU): [ey FAW): [e sane): [ 


FTP 配 置 文件 中 chroot local _ user 参数 和 chroot list_enable 参 数 是 不 可 以 同时 使 用 的 ， 如 果 
同时 使 用 ， 本 来 chroot list 所 配置 的 用 户 则 变 成 可 以 显示 完整 路 径 ， 没 有 配置 的 用 户 却 会 变 成 
无 法 显示 路 径 ， 但 结果 刚好 相反 。 


8.12 Vsftpd 使 用 SSL/TLS 加 密 传输 


为 vsftpd 服 务 加 上 SSL 可 以 提高 FTP 的 安全 性 ， 这 就 类 似 将 Apache 的 http 配 置 成 https， 让 
vsftpd 成 为 加 密 的 FTP 服 务 器 。 


安装 OpenSSL 


首先 检查 是 于 已 安装 OpenSSL，vsftpd 使 用 SSL/TLS， 必 须要 安装 OpenSSL。 


[root@localhost certs]# rpm -qa |grep openssl] // 检 查 是 否 安装 OpenSSL 
openssl-1.0.0-4.e16 0.2.x86 64 


如 果 没有 安装 OpenSSL， 对 vsftpd 配 置 完 SSL 后 会 无 法 启动 ， 出 现 force local logins ssl- 
YES 错 误 。 


[root@localhost ~]# yum install -y openssl / [X OpenSSL 


openssl x86_64 1.0.0-4.e16 0.2 updates 1.4 M 
Transaction Summary 

Install 0 Package (s) 
Upgrade 1 Package (s) 


Total download size: 1.4 M 


创建 凭证 CA 
安装 OpenSSL 后 默认 没有 任何 赁 证， 可 以 利用 OpenSSL 生 成 一 组 凭证 供 暂 时 使 用 ， 产 生 的 
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凭证 存放 路 径 为 /etc/pkitls/certs， 以 命令 方式 生成 凭证 ， 输 入 相关 信息 后 ， 会 生成 一 个 pem 文 
件 ， 然 后 将 这 个 文件 设 为 只 读 。 


[root@localhost ~]# cd /etc/pki/tls/certs // 进 入 /etc/pki/tls/certs 
[root@localhost certs]# openssl req -x509 -nodes -newkey rsa:1024 -keyout 
/etc/pki/tls/certs/vsftpd.pem -out /etc/pki/tls/certs/vsftpd.pem 

// 创 建 Vsftpa 凭证 
Generating a 1024 bit RSA private key 
-十 十 十 十 十 十 


You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 

Country Name (2 letter code) [XX]:cn 

State or Province Name (full name) []:beijing 

Locality Name (eg, city) [Default City]:beijing 

Organization Name (eg, company) [Default Company Ltd]:NO 

Organizational Unit Name (eg, section) []:beijing 

Common Name (eg, your name or your server's hostname) []:www.jerryit.idv.cn 
Email Address []:jerry@jerry.cn 

[root@localhost certs]# chmod 600 vsftpd.pem //#}Vsftpd 凭证 设 为 不 可 以 写 入 


配置 SSL 至 Vsftpd 配 置 文件 


编辑 vsftpd 配 置 文件 ， 配 置 凭证 存放 目录 并 开启 SSL 功 能 。 


[root@localhost certs]# vi /etc/vsftpd/vsftpd.conf 
rsa cert file-/etc/pki/tls/certs/vsftpd.pem / /凭证 存放 路 径 ， 根 据 凭证 创建 路 径 


ssl_enable=YES // 启 动 SSL 
force local data ssl=YES // 传 输 时 强制 使 用 SSL 
force local logins ssl-YES // 登 录 时 强制 使 用 SSL 


每 行 结尾 不 可 以 有 空白 ， 否 则 会 发 生 错 误 。 


配置 完成 后 ， 必 须 重新 启动 vsftpd 服 务 ， 这 样 配置 值 才 会 生效 。 


[root@localhost certs]# service vsftpd restart 
Shutting down vsftpd: [ 0E 1 
Starting vsftpd for vsftpd: [GEGEN 


连接 测试 


选择 【文件 】?【 站 点 管理 器 】 单 


， 输 入 主机 下 地 址 ， 加 密 方式 选择 【要 求 
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显示 的 FTP over TLS), 配置 普通 用 户 和 密码 ， 配 置 完成 后 ， 按 【连接 】 进 行 测试 。 


z Ej 
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匿名 用 户 可 以 用 快速 连接 方式 登录 ， 一 般 用 户 必 须 用 加 密 方式 才 可 以 正常 登录 。 如 果 没 有 
使 用 加 密 方 式 登录 ， 会 出 现 错误 信息 330 Non-anonymous sessions must use encryption. 


响应 : 220 Welcome to blah FTP service. 

命令 : USER jerry 

有 向 应 :530 Non-anonymous sessions must use encryption. 
错误 ;无 法 连接 到 服务 器 
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BIND 的 全 名 是 Berkeley Internet Name Domain， 最 初 是 由 加 州 大 学 柏 克 莱 分 校 开发 出 来 的 
BSD UNIX 中 的 一 部 分 ， 目 前 则 由 ISC 组 织 负责 维护 与 开发 。Bind 服 务 用 来 提供 域名 与 忆 地 址 
解析 ， 并 且 是 一 个 常用 的 DNS 服务 器 软件 ， 它 提供 了 强大 及 稳定 的 名 称 解析 服务 ，Linux 系 统 
上 大 多 都 以 BIND 软 件 作 为 DNS 服务 器 ， 目 前 最 新 的 版 本 为 BIND 9.3.6。 以 下 介绍 怎样 创建 一 
个 专用 的 DNS 服务 器 。 


9.1 安装 Cache-only DNS 服务 器 


Cache-onlyDNS 服 务 器 是 DNS 服务 器 的 一 部 分 ， 它 本 身 并 不 管理 任何 域名 ， 但 是 DNS 客户 
端 仍然 可 以 向 它 请 求 查 询 。 Cache-only DNS 服务 器 类 似 于 代理 DNS 服务 器 ， 它 没有 自己 的 查 
询 数据 库 ， 而 是 将 所 有 查询 转发 给 其 他 DNS 服务 器 进行 查询 ， 主 要 是 为 了 加 快 DNS 客 户 端的 查 
询 速 度 ， 当 Cache-only 服 务 器 收 到 查询 结果 后 ， 除 了 回应 客户 端 外 ， 还 会 将 结果 保存 在 缓存 中 。 
当下 一 个 DNS 客户 端 再 查询 相同 的 域名 记录 时 ， 就 可 以 从 缓存 里 找 出 记录 。 为 了 提高 客户 端 
DNS 的 查询 效率 并 减少 局 域 网 与 广域网 的 流量 ， 可 以 在 局 域 网 中 创建 一 台 Cache-onlyDNS 服 务 
器 。 配 置 Cache-only DNS 服务 器 非常 简单 ， 只 需要 配置 好 named.conf 配 置 文件 即 可 。 


安装 BIND 软 件 


在 CentOS 系 统 中 BIND 软 件 默认 不 安装 ， 可 以 使 用 yum 在 线 更 新 安装 方法 进行 简单 快速 的 
安装 ， 主 要 软件 有 bind、bind-chroot、bind-utils。 


[root@localhost ~]# yum -y install bind bind-chroot bind-utils 
Dependencies Resolved 


Installing: 
bind x86 64 32:9.7.0-5.P2.e16_0.1 updates 2SM 
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bind-chroot x86 64 32:9.7-0-5.P2.e16 0.1 updates 65 k 
Updating: 
bind-utils x86_64 32:9.7.0-5.P2.e16_0.1 updates 174 k 


Transaction Summary 


Install 2 Package (s) 
Upgrade 1 Package (s) 


Total download size: 3.7 M 


配置 BIND 服 务 


下 面 介 绍 如 何 配置 DNS 的 Cache-only 服 务 和 DNS 转发 服务 ， 用 户 根据 自己 的 需求 ， 可 以 配 
置 多 台 DNS 服 务 器 ， 在 配置 文件 中 forwarders 的 选项 要 配置 在 options 全 局 选项 中 ， 放 到 options 
全 局 选项 外 会 发 生 错误 。 


[root@localhost /]# vi /etc/named.conf 

// named.conf 

// Provided by Red Hat bind package to configure the ISC BIND named (8) DNS 
// server as a caching only nameserver (as a localhost DNS resolver only). 
// See /usr/share/doc/bind*/sample/ for example named configuration files. 
// 


options { 
listen-on port 53 { any; }; // 修 改 为 any， 这 样 才 可 以 对 外 连接 
E listen-on-v6 port 53 { ::1; }; // 车 没有 使 用 IPv6 协议 ， 可 以 加 上 # 
directory "/var/named" ; // 配 置 文件 存放 路 径 
dump-file "/var/named/data/cache dump.db"; 


statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
allow-query { any; }; 


//localhost 代表 只 有 本 机 可 以 查询 ， 要 是 对 外 提供 服务 ， 建 议 配置 为 any 


recursion yes; 
dnssec-enable yes; 
dnssec-validation yes; 
dnssec-lookaside auto; 
/* Path to ISC DLV key */ 
bindkeys-file "/etc/named.iscdlv.key"; 
forward only; // 必 须 加 上 £orward only 否则 cache only 不 会 生效 
forwarders { 
168.95.1.1; // 配 置 转发 服务 器 
8.8.8; 
m 
) 
logging ( 
channel default debug ( 
file "data/named.run"; 
severity dynamic; 


Me 
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Im 
zone "." IN ( 

type hint; 

file "named.ca"; 
) 


include "/etc/named.rfc1912.zones"; 


启动 BIND 服 务 器 


配置 完成 后 ， 就 可 以 启动 BIND 服 务 器 了 ， 若 有 需要 可 将 named 服 务 设 为 系统 默认 启动 。 


[root@localhost /]# service named start 
Starting named: [ OK ] 
[root@localhost /]# chkconfig named on 


配置 防火 墙 


若 要 求 BIND 服 务 可 以 对 外 连接 ， 必 须 在 防火 墙 配置 中 开启 TCP 和 UDP 的 53 端 口 。 


[root@localhost /]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT 


//DNS TCP 53 Port 
-A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT 
//DNS UDP 53 Port 


-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 


防火 墙 配置 完毕 后 ， 必 须 重新 启动 防火 墙 服 务 ， 配 置 才 会 生效 。 


[root@localhost /]# service iptables restart 


iptables: Flushing firewall rules: DETOK | 
iptables: Setting chains to policy ACCEPT: filter | 0K] 
iptables: Unloading modules: [ OK ] 
iptables: Applying firewall rules: EOR] 
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测试 BIND 服 务 


利用 dig 命 令 查询 www.google.com 域 名 , 使 用 BIND 服 务 器 本 机 JP 地 址 127.0.0.1 和 BIND 服 务 
器 对 外 下 地 址 192.168.233.200 测 试 ， 查 看 是 否 可 以 正常 解析 。 


[root@localhost /]# dig www.google.com @127.0.0.1 


//BIND 服务 器 本 机 IP 地 址 


; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.e16 0.1 <<>> www.google.com 8127.0.0.1 
;; global options: «cmd 

i; Got answer: 

ii -»»HEADER««- opcode: QUERY, status: NOERROR, id: 41604 

;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 0 

;; QUESTION SECTION: 


;WWw.google.com. IN A 

;; ANSWER SECTION: 

www.google.com. 558077 IN CNAME www.1.google.com. 
www.l.google.com. 197 IN A 74.125.31.99 
www.1.google.com. 197 IN A 74.125.31.103 
www.1.google.com. 197 IN A 74.125.31.104 
www.l.google.com. 197 IN A 74.125.31.105 
www.l.google.com. 197 IN A 74.125.31.106 
www.1.google.com. 197 IN A 74.125.31.147 


;; Query time: 413 msec 

i; SERVER: 127.0.0.1#53 (127.0.0.1)  //f]H 127.0.0.1 可 以 查询 到 域名 对 应 的 IP 地 址 代表 解析 成 功 
;; WHEN: Sun Aug 21 10:09:25 2011 

;; MSG SIZE rcvd: 148 


[root@localhost /]# dig www.google.com @192.168.233.200 
//BIND 服务 器 对 外 IP 地 址 
; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.e16 0.1 ««»» www.google.com @192.168.233.200 
;; global options: «cmd 
7; Got answer: 
i; -»»HEADER««- opcode: QUERY, status: NOERROR, id: 34376 
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 0 
7; QUESTION SECTION: 


; www.google.com. IN A 

;; ANSWER SECTION: 

www.google.com. 549189 IN CNAME — www.l.google.com. 
www.1.google.com. 189 IN A 72.14.203.99 
www.1.google.com. 189 IN A 72.14.203.103 
www.l.google.com. 189 IN A 72.14.203.104 
www.l.google.com. 189 IN A 72.14.203.105 
www.1.google.com. 189 IN A 72.14.203.106 
www.1.google.com. 189 IN A 72.14.203.147 


;; Query time: 298 msec 
;; SERVER: 192.168.233.200#53 (192.168.233.200) 


/利用 192.168.233.200 可 以 查询 到 域名 对 应 的 IP 地 址 代表 解析 成 功 
;; WHEN: Sun Aug 21 10:06:32 2011 
;; MSG SIZE rcvd: 148 


使 用 dig 测 试 时 出 现 connection timed out; no servers could be reached 错 误 信息 。 
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[root@localhost /]# dig www.google.com @127.0.0.1 

; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.e16 0.1 ««»» www.google.com @127.0.0.1 
77 global options: «cmd 

;; connection timed out; no servers could be reached 


主要 原因 是 配置 文件 named.conf 内 的 listen-on port 53 没 有 指定 查询 卫 地 址 ， 所 以 无 法 查询 。 


[root@localhost /]# vi /etc/named.conf 
options { 
listen-on port 53 { 127.0.0.1;192.168.233.200; }; 
LIRAK 127.0.0.1, HRA any 代表 接受 任何 IP 地 址 
listen-on-v6 port 53 ( ::1; }; 


客户 端 利用 BIND 服 务 器 查询 时 出 现 错误 信息 ， 原 因 在 于 allow-query 选 项 。 


> server 192.168.233.200 
默认 服务 器 : [192.168.233.200] 

Rddress: 192.168.233.200 

> cn.yahoo.com 

服务 器 : [192.168.233.200] 

Address: 192.168.233.200 

*** [192.168.233.200] 找 不 到 cn.yahoo.com: Query refused 


因为 allow-query 配 置 参数 默认 为 localhost， 所 以 无 法 对 外 查询 ， 就 算 防 火 墙 开启 ， 用 telnet 
也 无 法 连通 ， 所 以 必须 配置 为 amy， 才 可 以 正常 查询 。 


[root@localhost /]# vi /etc/named.conf 
allow-query { any; }; / [S39 localhost, 7g any 才 可 以 对 外 查询 。 


9.2 配置 BIND 服 务 器 


下 面 介绍 如 何 利用 DNS 服 务 器 实现 域名 和 IP 地 址 的 正 反 向 解析 。 
安装 BIND 软 件 


CentOS 操 作 系统 默认 不 会 安装 BIND 软 件 ， 可 以 使 用 yum 在 线 更 新 安装 方法 进行 安装 ， 主 
要 软件 有 bind、bind-chroot、bind-utils。 


[root@localhost ~]# yum install -y bind bind-chroot bind-utils 
Dependencies Resolved 


Installing: 
bind x86 64 32:9.7.0-5.P2.e16_0.1 updates 3CBUM 
bind-chroot x86 64 32:9.7.0-5.P2.e16 0.1 updates 65 k 
Updating: 
bind-utils x86 64 32:9.7.0-5.P2.e16_0.1 updates 174 k 


Transaction Summary 
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Install 
Upgrade 


2 Package (s) 
1 Package (s) 


Total download size: 3.7 M 


主要 配置 文件 (named.conf) 


Named.conf 是 Bind 服 务 的 主要 配置 文件 ， 它 管理 所 有 根 域 的 配置 及 Bind 相 关 配 置 ， 以 下 示 
例 配 置 域名 的 正 反 向 解析 。 正 反 向 解析 名 称 可 以 根据 需求 配置 ， 但 是 创建 正 反 向 解析 文件 时 ， 
文件 名 要 一 致 ， 以 免 无 法 读 取 到 正 反 向 解析 数据 。 


[root@localhost ~]# vi /etc/named.conf 

// named.conf 

// Provided by Red Hat bind package to configure the ISC BIND named (8) DNS 
// server as a caching only nameserver (as a localhost DNS resolver only). 
// See /usr/share/doc/bind*/sample/ for example named configuration files. 


// 
options 
# 

# 
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{ 
listen-on port 53 { any; }; // 修 改 为 any， 这 样 才 可 以 对 外 连接 


listen-on-v6 port 53 ( none; }; 


// 与 上 一 行 作用 相同 ， 若 不 使 用 IPv6 协议 则 加 上 # 号 


directory "/var/named"; 

dump-file "/var/named/data/cache dump.db"; 
statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
allow-query { any; }; 


// 允许 客户 端 查询 范围 ， 配 置 为 any 开放 所 有 IP 都 可 以 查询 


recursion yes; 

dnssec-enable yes; 

dnssec-validation yes; 
dnssec-lookaside auto; 

/* Path to ISC DLV key */ 
bindkeys-file "/etc/named.iscdlv.key"; 


( 

channel default debug ( 
file "data/named.run"; 
severity dynamic; 


hi 

zone "." IN { // 根 服务 配置 文件 
type hint; 
file "named.ca"; 

Fi 

zone "jerryit.idv.cn" IN { // 正 向 解析 配置 


type master; // 服 务 器 类 型 
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file "jerryit.idv.cn"; // 正 向 解析 文件 名 
allow-update { none; }; 
h 
zone "0.168.192.in-addr.arpa" IN { // 反 向 解析 配置 
type master; 
file "192.168.233"; // 反 向 解析 文件 名 


allow-update { none; }; 


h 


include "/etc/named.rfc1912.zones"; 


配置 根 服务 器 文件 


此 文件 为 根 服务 器 地 址 的 配置 文件 ,在 DNS 服务 器 的 名 称 解 析 中 ， 如 果 DNS 服 务 器 的 数据 
库 没 有 包含 所 要 求 查询 的 记录 ， 则 此 服务 器 首先 会 要 求 根 服务 器 解析 有 关 域 名 的 类 型 。 最 新 信 
息 可 以 到 ftp://rs.internic.net/domain 下 载 。 


[root@localhost ~]# vi /var/named/named.ca 

; <<>> DiG 9.5.0b2 <<>> +bufsize=1200 «norec NS . @a.root-servers.net 
;; global options: printcmd 

;; Got answer: 

ii -»»HEADER««- opcode: QUERY, status: NOERROR, id: 34420 

;; flags: qr aa; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 20 
i; OPT PSEUDOSECTION: 

; EDNS: version: 0, flags:; udp: 4096 

7; QUESTION SECTION: 


i. IN NS 
i; ANSWER SECTION: 
518400 IN NS M.ROOT-SERVERS . NET. 
518400 IN NS A.ROOT-SERVERS.NET. 
518400 IN NS B.ROOT-SERVERS.NET. 
518400 IN NS C.ROOT-SERVERS.NET. 
518400 IN NS D.ROOT-SERVERS.NET. 
518400 IN NS E.ROOT-SERVERS.NET. 
518400 IN NS F.ROOT-SERVERS.NET. 
518400 IN NS G.ROOT-SERVERS .NET. 
518400 IN NS H.ROOT-SERVERS . NET. 
518400 IN NS I.ROOT-SERVERS.NET. 
518400 IN NS J.ROOT-SERVERS.NET. 
518400 IN NS K.ROOT-SERVERS.NET. 
& 518400 IN NS L.ROOT-SERVERS.NET. 
;; ADDITIONAL SECTION: 
A.ROOT-SERVERS .NET . 3600000 IN A 198.41.0.4 
A.ROOT-SERVERS .NET. 3600000 IN AAAA 2001:503:ba3e: :2:30 
B.ROOT-SERVERS.NET. 3600000 IN A 192.228.79.201 
C.ROOT-SERVERS.NET. 3600000 IN A 192.33.4.12 
D.ROOT-SERVERS.NET. 3600000 IN A 128.8.10.90 
E.ROOT-SERVERS.NET. 3600000 IN A 192.203.230.10 
F.ROOT-SERVERS.NET. 3600000 IN A 19275257241 
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F.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:500:2f::f 
G.ROOT-SERVERS.NET. 3600000 IN A 192.112.36.4 
H.ROOT-SERVERS.NET. 3600000 IN A 128.63.2.53 
H.ROOT-SERVERS .NET . 3600000 IN AAAA 2001:500:1::803f:235 
I.ROOT-SERVERS.NET. 3600000 IN A 192.36.148.17 

可 .ROOT-SERVERS .NET . 3600000 IN A 192.58.128.30 
J.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:503:c27::2:30 
K.ROOT-SERVERS . NET. 3600000 IN A 193.0.14.129 
K.ROOT-SERVERS .NET. 3600000 IN AAAA 2001:7fd::1 
L.ROOT-SERVERS.NET. 3600000 IN A 199.7.83.42 
M.ROOT-SERVERS . NET. 3600000 IN A 202.12:27-33 
M.ROOT-SERVERS . NET. 3600000 IN AAAA 2001:dc3::35 


;; Query time: 147 msec 
;i SERVER: 198.41.0.4453 (198.41.0.4) 
;; WHEN: Mon Feb 18 13:29:18 2008 


配置 域名 正 向 解析 文件 


主要 文件 配置 完毕 后 ， 就 可 以 开始 创建 正 向 解析 文件 了 ,这 里 配置 A MX, CNAME 类 型 。 


优先 等 级 对 应 信息 


Eva rs 192.168.233.200 
mmo o 192.168.233.150 


[ux Jio | matsvjenyitiaven | 
Lwww — — | CNAME |  bindjemyiidecn | 


在 named 目 录 下 创建 正 向 解析 文件 ， 正 向 解析 文件 的 名 称 必 须要 与 主 配置 文件 内 的 配置 相 
同 ， 否 则 无 法 读 取 。 先 配置 SOA 信 息 ， 然 后 再 配置 其 他 信息 。 


[root@localhost ~]# vi /var/named/jerryit.idv.cn // 创 建 并 编辑 正 向 解析 文件 


$TTL 86400 
@ IN SOA bind.jerryit.idv.cn. root.jerryit.idv.cn. ( 
// 管 理 BIND 服务 器 管理 信息 
2011071001 ;序号 Serial 
3600 ;更 新 频率 Refresh 
1800 ;失败 重新 尝试 时 间 Retry 
604800 ;失效 时 间 Expire 
86400 ; 快 取 时 间 Minimum TTL 
) 
IN NS bind.jerryit.idv.cn. //BIND 服务 器 主机 
IN A 191.168.233.200 / [BIND 服务 器 IP 地 址 
IN MX 10 mailsrv.jerryit.idv.cn. // 邮 件 服务 器 
bind IN A 192.168.233.200 // 网 络 域名 1p 地 址 
mailsrv IN A 192.168.233.150 
www IN CNAME bind. jerryit.idv.cn. // 网 域 主机 的 第 二 名 称 
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配置 域名 反 向 解析 文件 


正 向 解析 文件 配置 完毕 后 ， 接 下 来 创建 反 向 解析 文件 ， 反 向 解析 文件 很 简单 ， 类 型 也 只 
PTR 记 录 ，PTR 记 录 的 信息 就 是 正 向 解析 文件 内 的 类 型 A 主机 的 也 地 址 。 


名 称 类 型 对 应 信息 
200 PTR bind jerryit.idv.cn 
150 PTR mail jerryit.idv.cn 


在 named 目 录 下 创建 反 向 解析 文件 ， 反 向 解析 文件 的 名 称 必 须要 与 主要 配置 文件 内 的 配置 
相同 ， 和 否则 无 法 正常 读 取 ， 先 配置 SOA 信 息 ， 然 后 再 配置 其 他 信息 。 
[root@localhost ~]# vi /var/named/192.168.233 // 创 建 并 编辑 反 向 解析 档 


STTL 86400 
@ IN SOA bind.jerryit.idv.cn. root.jerryit.idv.cn. ( 
// 管 理 BIND 服务 器 管理 信息 
2011071001 ;序号 Serial 
3600 ;更 新 频率 Refresh 
1800 ;失败 重新 尝试 时 间 Retry 
604800 ;失效 时 间 Expire 
86400 ; 快 取 时 间 Minimum TTL 
) 
IN NS bind.jerryit.idv.cn.  //NS 服务 器 主机 名 
IN PTR jerryit.idv.cn. 
IN A 255.255.255.0 
200 IN PTR bind.jerryit.idv.cn.  // 反 向 解析 查询 IP 主机 
150 IN PTR mailsrv.jerryit.idv.cn 
启动 BIND 服 务 器 


配置 完成 后 ， 就 可 以 启动 BIND 服 务 了 ， 若 有 需要 将 named 服 务 设 为 系统 默认 启动 。 


[root@localhost /]# service named start 
Starting named: C O 7 
[root@localhost /]# chkconfig named on 


配置 防火 墙 


若 要 求 BIND 服 务 可 以 对 外 连接 ， 必 须 在 防火 墙 配置 中 开启 TCP 和 UDP 的 53 端 口 。 


[root@localhost /]# vi /etc/sysconfig/iptables 
# Firewall configuration written by system-config-firewall 
*filter 
:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0] 
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
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-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT 
//DNS TCP 53 Port 
-A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT 
//DNS UDP 53 Port 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 


防火 墙 配置 完毕 后 ， 必 须 重 新 启动 防火 墙 服务 ， 配 置 才 会 生效 。 


[root@localhost /]# service iptables restart 


iptables:Flushing firewall rules: [OK] 
iptables:Setting chains to policy ACCEPT: filter [ OK ] 
iptables:Unloading modules: [OKs 
iptables:Applying firewall rules: [ OK ] 


测试 BIND 服务 


在 客户 端 计算 机 上 使 用 nslookup 测 试 BIND 服 务 器 ， 输 入 【nslookup】， 默 认 会 使 用 客户 端 
配置 的 DNS 服务 器 所 以 必须 修改 成 刚 创建 的 DNS 服务 器 IP 地 址 输入 [server 192.168.233.200] 

首先 进行 正 向 解析 查询 ， 检 查 正 向 解析 文件 内 的 A 类 型 ， 如 果 都 可 以 正常 查询 ， 则 代表 配 
置 成 功 。 


> bind.jerryit.idv.cn 
服务 器 : [192.168.233.200] 
Address:192.168.233.200 
44M :bind.jerryit.idv.cn 
Address:192.168.233.200 

» mailsrv.jerryit.idv.cn 
服务 器 : [192.168.233.200] 
Address:192.168.233.200 
44M :mailsrv.jerryit.idv.cn 
Address:192.168.233.150 


其 次 测试 MX 类 型 ， 建 议 将 条 件 配置 为 只 查询 类 型 MX， 然 后 再 查询 ， 如 果 可 以 查询 出 mail 
exchanger 所 配置 的 下 地 址 ， 代 表 配 置 成 功 。 


> set q=mx // 配 置 为 只 查询 MX 类 型 
> jerryit.idv.cn // 输 入 域名 

服务 器 : [192.168.233.200] 

Address:192.168.233.200 

jerryit.idv.cn MX preference = 10, mail exchanger = mailsrv.jerryit.idv.cn 
jerryit.idv.cn nameserver = bind.jerryit.idv.cn 

bind.jerryit.idv.cn internet address - 192.168.233.200 


再 测试 CNAME 类 型 ， 如 果 查 询 到 别名 主机 所 配置 的 人 P 地 址 ， 代 表 配 置 成 功 。 
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mm- 


> Www.jerryit.idv.cn 
服务 器 : [192.168.233.200] 
Address:192.168.233.200 
www.jerryit.idv.cn canonical name - bind.jerryit.idv.cn 
jerryit.idv.cn 
primary name server - bind.jerryit.idv.cn 
responsible mail addr - root.jerryit.idv.cn 
serial = 2011071001 
refresh - 3600 (1 hour) 
retry 1800 (30 mins) 
expire 604800 (7 days) 
default TTL - 86400 (1 day) 


最 后 测试 反 向 解析 ， 输 入 配置 文件 内 的 PTR 类 型 ， 若 能 够 查询 到 主机 名 ， 代 表 解 析 成 功 。 


> 192.168.233.200 
服务 器 : [192.168.233.200] 
Address:192.168.233.200 
AW :bind.jerryit.idv.cn 
Address:192.168.233.200 
» 192.168.233.150 

服务 器 : [192.168.233.200] 
Address:192.168.233.200 
AW :mail.jerryit.idv.cn 
Address:192.168.233.150 
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Samba 是 一 种 开放 源 代 码 软件 ， 用 来 让 UNIX 系 列 的 操作 系统 与 微软 Windows 操 作 系统 的 
SMB/CIFS (Server Message Block/Common Internet File System) 网 络 协议 的 资源 共享 之 间 实 现 
相互 访问 。 不 仅 可 读 取 及 共享 SMB 的 目录 及 打印 机 ， 本 身 还 可 以 加 入 Windows Server 的 网 络 、 
扮演 为 域 控制 器 (Domain Controller) 以 及 成 为 Active Directory 成 员 。 简 而 言 之 ， 此 软件 在 
Windows 与 UNIX 系 列 OS 之 间 搭 起 一 座 桥梁 ， 让 两 者 可 互通 有 无 ， 目 前 的 版 本 为 v3。 


10.1 安装 Samba 服 务 


下 面 介绍 如 何 安装 Samba 服 务 ， 并 配置 一 个 公共 的 共享 目录 。 


检查 Samba 软 件 


安装 Samba 服 务 前 ， 先 检查 Samba 软 件 ， 确 认 是 否 已 安装 samba、samba-client、samba- 
common 软 件 ， 若 有 代表 已 经 安装 过 。 


[root@localhost ~]# rpm -qa | grep samba 
samba-winbind-clients-3.5.4-68.e16 0.2.x86 64 
samba-common-3.5.4-68.e16 0.2.x86 64 
samba-client-3.5.4-68.e16 0.2.x86 64 
Samba-3.5.4-68.e16 0.2.x86 64 


安装 Samba 软 件 


安装 Samba 软 件 ， 建 议 使 用 yum 在 线 更 新 方法 进行 安装 ， 较 方便 快速 。 


[root@localhost ~]# yum install -y samba 
Dependencies Resolved 
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Package Arch Version Repository Size 
Installing: 

samba x86 64 3.5.4-68.e16 0.2 updates 5.0M 
Updating for dependencies: 

samba-client x86 64 3.5.4-68.e16 0.2 updates 11M 

samba-common x86_64 3.5.468.e16 0.2 updates 13M 

samba-winbind-clients x86 64 3.5.4-68.e16 0.2 updates 1.1 M 


Transaction Summary 


Install 1 Package (s) 
Upgrade 3 Package (s) 


Total download size: 30 M 


创建 Samba 共 享 目录 


Samba 软 件 安装 完毕 后 ， 创 建 一 个 共享 目录 ， 此 共享 目录 名 称 为 test， 先 在 根 目录 创建 名 
称 为 test 的 目录 ， 将 test 目 录 权 限 修改 为 nobody， 使 每 个 人 都 可 以 使 用 。 


[root@localhost ~]# mkdir /test // 创 建 test 共享 目录 
[root@localhost ~]# chown nobody /test  // 配 置 共享 目录 权限 


配置 Samba 服务 


接 下 来 编辑 Samba 配 置 文件 ,首先 编辑 工作 组 ， 默 认为 MYGROUP, 这 里 使 用 默认 的 Samba 
工作 组 ， 若 没有 配置 也 不 影响 使 用 ， 只 是 在 使 用 工作 组 去 搜索 共享 目录 时 会 找 不 到 。 
[root@localhost ~]# vi /etc/samba/smb.conf 
workgroup = MYGROUP // 默 认为 MYGROUP， 可 根据 实际 环境 配置 


server string = Samba Server Version $v 
使 用 Samba 共 享 目录 就 必须 输入 账号 和 密码 ， 要 让 用 户 登录 Samba 共 享 目录 时 不 用 输入 密 
码 ， 就 必须 将 user 改 成 share。 安 全 性 等 级 默认 为 user。 


[root@localhost ~]# vi /etc/samba/smb.conf 
security = share // 默 认为 user， 需 要 输入 账号 和 密码 才 可 以 登录 ， 若 要 共享 则 设 为 share 
passdb backend = tdbsam 
指定 Samba 是 否 是 本 地 主 浏览 器 ， 默 认 值 是 yes。 如 果 设 为 0o， 则 Samba 服 务 器 永远 都 不 会 
成 为 本 地 主 浏览 器 。 如 果 配 置 文件 中 没有 启用 ， 将 【;】 号 删除 ， 并 把 no 改 成 yes。 


[root@localhost ~]# vi /etc/samba/smb.conf 
local master = yes 
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配置 共享 目录 ， 在 Samba 配 置 文 件 的 最 后 一 行 创建 Samba 共 享 目录 信息 。 


[root@localhost ~]# vi /etc/samba/smb.conf 


[test] 

comment = test // 配 置 共享 目录 名 称 

path = /test // 配 置 共 享 目录 路 径 

read only = no // 是 否 只 有 读 取 权限 

guest ok = yes // 是 否 可 以 使 用 访客 账号 登录 
browseable = yes // 是 否 可 以 浏览 目录 内 容 


检查 配置 文件 


测试 Samba 配 置 文件 是 否 正确 ， 如 果 看 到 testE 常 显示 ， 表 示 配 置 成 功 。 


[root@localhost ~]# testparm // 检 查 Samba 配置 文件 

Load smb config files from /etc/samba/smb.conf 

rlimit max: rlimit max (1024) below minimum Windows limit (16384) 
Processing section "[homes]" 

Processing section "[printers]" 

Processing section "[test]" 

Loaded services file OK. 

Server role: ROLE STANDALONE 

Press enter to see a dump of your service definitions // 按 Enter 


[global] 
workgroup - MYGROUP 
server string - Samba Server Version $v 
log file = /var/log/samba/log.$m 
max log size - 50 
cups options - raw 


[homes] 
comment - Home Directories 
read only - No 
browseable - No 


[printers] 
comment - All Printers 
path - /var/spool/samba 
printable - Yes 
browseable - No 


[test] // 范 例 中 创建 的 共享 目录 
comment = test 
path - /test 
write list - «staff 
read only - No 
guest ok - Yes 
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启动 Samba 


Samba 配 置 完成 后 ， 就 可 以 启动 Samba 服 务 了 ， 若 Samba 提 供 对 外 服务 ， 就 需要 将 Samba 
服务 设 为 系统 默认 启动 。 


[root@localhost ~]# service smb start 
Starting SMB services: [ or ] 
[root@localhost ~]# chkconfig smb on 


配置 防火 墙 


使 用 Samba 服 务 前 ， 必 须 在 防火 墙 配置 文件 中 开启 Samba 所 需 的 端口 ，Samba 使 用 的 端口 
为 137、138、139、445， 这 样 才 可 以 对 外 连接 。 


[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 137 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 138 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


防火 墙 配 置 完毕 后 ， 必 须 重新 启动 防火 墙 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: | (OK J 
iptables: Setting chains to policy ACCEPT: filter [ OK ] 
iptables: Unloading modules: [ OK ] 
iptables: Applying firewall rules: [ OK ] 


测试 Samba 共 享 目录 


启动 成 功 后 ， 在 Windows 客 户 端 执 行 【 开 始 】【 运 行 】〗 输入 【WP 地址 】 即 会 看 到 共 
享 的 目录 test 及 共享 的 打印 机 。 
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235 
D BEY TET T 

QFE- Orif Dae OAR |i 9 X | iy 

Ait) [ vase 168.233 25 


Bats a 
PL 

© ssmusm 

d Selita 


M92. 168.233.235 


[X] A1192. 168. 233. 235\test 无 法 访问 。 您 可 能 设 有 权限 使 用 网 络 资源 请 与 这 台 服务 器 的 管理 员 联系 以 查 明 您 是 否 有 访问 权限 。 
无 任何 了 网络 提供 程序 接受 指定 的 网 络 路 径 。 


检查 发 现 SELinux 状 态 为 开启 ， 建 议 关 闭 ， 防 止 测试 中 出 现 错误 信息 。 


[root@localhost ~]# vi /etc/selinux/config 
# This file controls the state of SELinux on the system. 
# SELINUX- can take one of these three values: 


# enforcing - SELinux security policy is enforced. 

# permissive - SELinux prints warnings instead of enforcing. 

# disabled - No SELinux policy is loaded. 

SELINUX=disabled / [Sk enforcing 开启 ， 若 关闭 则 设 为 disabled 


若 出 现状 态 无 法 保存 或 无 法 创建 新 文件 的 情况 ， 如 下 图 所 示 。 


不 能 创建 文件 \\192. 168. 233. 235\test\ 新 建 文本 文档 . txt。 
请 确认 路 径 和 文件 名 是 否 正确 。 


NE AE 


无 法 创建 文件 [x] 
TROEN | HE 文本 文档 txt 
拒绝 访问 。 


L WE | 


原因 在 于 Samba 配 置 文件 内 配置 了 read only ^ yes， 所 以 只 能 浏览 ， 设 为 no 或 删除 就 可 以 保 
存 和 创建 新 文件 了 。 


[root@localhost ~]# vi /etc/samba/smb.conf 
[test] 
comment = test 
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path = /test 

read only = yes // BA yes 只 能 读 取 ， 无 法 修改 或 新 增 
guest ok = yes 

browseable = yes 


10.2 配置 USER 等 级 共享 目录 


Samba 服 务 器 已 经 介绍 过 share 等 级 的 配置 ， 不 用 输入 密码 ， 就 可 以 使 用 Samba 共 享 目录 ， 
以 下 介绍 user 等 级 配置 ， 此 等 级 必须 要 输入 账号 和 密码 才 可 以 使 用 ， 不 像 share 等 级 可 以 随意 登 
录 ， 这 样 可 以 提高 服务 器 的 安全 性 。 


配置 共享 权限 


编辑 Samba 配 置 文件 ， 安 全 性 等 级 默认 为 user， 若 要 使 用 Samba 共 享 目录 就 必须 输入 账号 
和 密码 。 
[root@localhost ~]# vi /etc/samba/smb.conf 


security = user // 默 认为 user， 需 要 输入 主机 账号 才 可 以 登录 ， 共 享 则 设 为 share 
passdb backend = tdbsam 


指定 Samba 是 否 是 本 地 主 浏览 器 ， 默 认 值 是 yes。 如 果 设 为 no， 则 Samba 服 务 器 永远 都 不 会 
成 为 本 地 主 浏览 器 。 如 果 配 置 文件 中 没有 启用 ， 将 【;】 号 删除 。 


[root@localhost ~]# vi /etc/samba/smb.conf 
local master = yes 


管理 账号 和 密码 


Samba 2 版 本 以 前 的 用 户 账号 管理 是 使 用 smbpasswd， 密 码 文件 为 文本 文件 ， 用 户 比 较 多 
的 情况 下 ， 效 率 较 差 。Samba 3 版 本 的 用 户 账号 管理 默认 使 用 后 端 tdbsam 数据 库 管理 机 制 ， 
目前 版 本 以 Samba 3 为 主 。 


命令 说 明 
列 出 详细 的 samba 用 户 列表 

列 出 同 smbpasswd 格式 的 用 户 列表 
新 增 jerry 用 户 

删除 jerry 用 户 

暂时 停 用 jerry 这 个 用 户 

恢复 使 用 jerry 这 个 用 户 


首先 创建 一 个 Samba 服 务 使 用 的 账号 jerry， 并 允许 登录 ， 前 提 是 home 目 录 内 有 jerry 用 户 的 
主 目录 。 


pdbedit -LV 
pdbedit -Lw 
pdbedit -a jerry 


pdbedit -x jerry 


pdbedit -c "[D]" -u jerry 


pdbedit -c "[]" -u jerry 
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[root@localhost ~]# pdbedit -a jerry // 创 建 一 个 samba 用 户 jerry 
new password: 
retype new password: 


Unix username: jerry 

NT username: 

Account Flags: [U ] 

User SID: S-1-5-21-771671275-2027446412-3136032341-1000 
Primary Group SID: S-1-5-21-771671275-2027446412-3136032341-513 
Full Name: 

Home Directory: \\myserver\jerry 


HomeDir Drive: 
Logon Script: 


Profile Path: \\myserver\jerry\profile 

Domain: MYSERVER 

Account desc: 

Workstations: 

Munged dial: 

Logon time: 0 

Logoff time: 9223372036854775807 seconds since the Epoch 
Kickoff time: 9223372036854775807 seconds since the Epoch 
Password last set: Tue, 23 Aug 2011 01:54:05 CST 


Password can change: Tue, 23 Aug 2011 01:54:05 CST 
Password must change: never 


Last bad password gf) 
Bad password count : 0 
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF 


若 本 机 home 目 录 下 没有 要 指定 的 samba 用 户 名 称 ， 则 无 法 添加 新 用 户 ， 例 如 long， 本 机 没 
有 这 个 账号 ， 所 以 就 无 法 新 增 成 功 ， 所 以 必须 要 新 增 本 机 账号 ， 再 新 增 samba 账 号 。 
[root@localhost jerry]# pdbedit -a long 
new password: 


retype new password: 
Failed to add entry for user long. 


启动 Samba 服 务 


Samba 配 置 完成 后 ， 就 可 以 启动 Samba 服 务 了 ， 若 Samba 提 供 对 外 服务 ， 那 就 需要 将 Samba 
服务 设 为 系统 默认 启动 。 


[root@localhost ~]# service smb start 
Starting SMB services: L 0 l 
[root@localhost ~]# chkconfig smb on 


> E 


记得 在 防火 墙 配置 文件 中 开 137、138、139、445。 
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测试 USER 等 级 的 目录 


在 Windows 客 户 端 检查 是 否 可 以 正常 登录 。 输 入 用 户 名 和 密码 后 ， 输 入 【WP 地 址 】 如 下 
图 所 示 ， 需 要 输入 用 户 密码 ， 输 入 创建 的 测试 账号 jerry。 


连接 到 localhost — 


正在 连接 到 | 192. 168. 233. 235 


MPW: [e jerry - 
mmo. [er E ————— 
厂 记 住 我 的 密码 QU 


| ma | 
正常 登录 后 ， 可 以 看 到 自己 账号 的 目录 和 共享 的 打印 机 。 


文件 中 He) BEM umo) IA) Boo | ar 
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10.3 SWAT-Samba WEB 管 理工 具 


SWAT (Samba WEB Administration Tool) 是 Samba 的 图 形 化 管理 工具 ， 可 以 通过 浏览 器 使 
用 SWAT 工 具 来 设置 Samba。 在 SWAT 中 每 一 个 Samba 参 数 都 有 对 应 的 帮助 文件 或 解释 文件 ， 很 


适合 初学 者 使 用 。 


安装 SWAT 工 具 

安装 SWAT 工 具 ， 建 议 使 用 yum 在 线 更 新 方式 进行 安装 ， 既 方便 又 快速 。 
[root@localhost]# yum install -y samba-swat // 安 装 SWAT 
Dependencies Resolved 
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samba-swat x86 64 3.5.4-68.e16 0.2 updates 3.0 M 
Installing for dependencies: 
xinetd x86 64 2:2.3.14-29.e16 base 120 k 


Transaction Summary 


Install 2 Package (s) 
Upgrade 0 Package (s) 
Total download size: 3.2 M 


配置 SWAT 


编辑 SWATI 配 置 文件 在 only_from 前 面 添加 注解 符 区 ,不然 只 允许 本 机 可 以 连接 , 将 disable 
配置 为 no， 这 样 才 可 以 启动 SWAT。 


[root@localhost ~]# vi /etc/xinetd.d/swat 

# default: off 

# description: SWAT is the Samba Web Admin Tool. Use swat \ 

# to configure your Samba server. To use SWAT, \ 

# connect to port 901 with your favorite web browser. 
service swat 


{ 


port = 901 

socket_type = stream 

wait = no 
# only_from = 127.0.0.1 // 若 不 加 上 # 号 则 只 允许 本 机 连接 

user - root 

server = /usr/sbin/swat 

log on failure «- USERID 

disable - no // 默 认为 yes 不 可 以 使 用 ， 需 配置 为 no 才 可 以 使 用 
启动 SWAT 


SWAT 配 置 完成 后 ， 就 可 以 启动 SWWAT 了 ， 若 经 常 使 用 需 将 SWAT 设 为 默认 启动 。 


[root@localhost ~]# service xinetd start 
Starting xinetd: C- 1 
[root@localhost ~]# chkconfig xinetd on 


配置 防火 墙 


SWAT 使 用 的 端口 为 001， 需 在 防火 墙 中 开启 ， 这 样 服务 才 可 以 对 外 连接 。 


[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 
# Manual customization of this file is not recommended. 
ber 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 
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-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 901 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


防火 墙 配 置 完毕 后 ， 必 须 重新 启动 服务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: [ OK 
iptables: Setting chains to policy ACCEPT: filter [ OK 
iptables: Unloading modules: [ OK 
iptables: Applying firewall rules: [ OK 


使 用 SWAT 


打开 浏览 器 ， 输 入 【http://IP 地 址 : 901】， 先 使 用 普通 用 户 登 录 ， 
有 差别 。 


连接 到 192. 168. 233 
= 


{SWATHS 192.168.233.235 FAASS. 


3 agens 
(没有 安全 连接 的 于 本 认证 ) - 
RP: [grum = 
B: m 
T- EERDE QD 
Cue ] x» | 
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使 用 普通 用 户 登录 只 会 有 下 列 4 种 管理 界面 , 没有 完整 的 管理 功能 , 基本 上 只 有 查看 功能 。 


Logged in as jorry 


Welcome to SWAT! 


Please choose a configuration action using one ofthe above buttons 


Samba Documentation. 
+ Daemons 


© smbd - the SMB daemon. 
o nmbd - the NetBIOS nameserver 


再 来 以 root 管 理 员 用 户 登 录 ， 检 查 管 理 功能 是 否 有 差别 。 
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以 root 管 理 员 用 户 登 录 后 ，SWAT 多 了 很 多 管理 功能 ， 可 以 查看 共享 目录 ， 并 且 可 以 进行 
配置 ， 不 太 会 使 用 Samba 服 务 的 用 户 ， 可 以 尝试 使 用 SWAT。 


HEOELFEIFEBLEG 


Welcome to SWAT! 


Fente choote a configarbon caca uang coe ofthe shore buttons 


Samba Documentation 


* Daemons 
© mbd - the SME daemon. 
© trib the NetBIOS nameserver 
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Proxy 的 意思 是 代理 软件 或 代理 服务 器 ， 其 功能 主要 是 接受 用 户 的 请 求 后 ， 替 用 户 连 至 
Internet 上 读 取 网 页 数据 ， 然 后 将 数据 保存 于 硬盘 中 ， 再 将 数据 传送 给 用 户 。 当 有 其 他 用 户 要 
求 读 取 同一 份 数据 时 ，Proxy Server 便 可 将 存放 于 硬盘 上 的 数据 传送 给 用 户 ， 借 此 可 减少 重复 
的 数据 获取 ， 节 省 不 必要 的 数据 传输 ， 进 一 步 降低 网 络 的 负载 。Squid 是 Linux 常 见 的 Proxy 服 
务 ， 配 置 简单 又 好 管理 。 


11.1 Squid 的 安装 和 配置 


Squid 安 装 方式 很 简单 ， 以 下 介绍 如 何 配置 一 个 简单 的 Proxy 代 理 服务 器 ， 以 供 公 司 内 部 
使 用 。 


安装 Squid 
如 果 要 使 用 squid 服 务 , 必须 安装 软件 Squid 和 perl-URI， 建 议 使 用 yum 在 线 更 新 方式 进行 安 


装 ， 既 简单 又 方便 。 


[root@localhost /]# yum -y install squid 
Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 
squid x86 64 7:3.1.10-1.616 base 1.7 M 


Transaction Summary 


Install 1 Package (s) 
Upgrade 0 Package (s) 


CentOS 6.x 系统 管理 实战 宝典 


Total download size: 1.7 M 


安装 完成 后 ， 启 动 前 必须 要 编辑 squid 配 置 文件 ， 默 认 端 口 为 3128， 常 见 的 Proxy 代 理 服务 
器 软件 默认 端口 都 是 3128， 建 议 进 行 修改 ， 尽 量 是 较 少 人 使 用 的 端口 ， 这 样 被 扫描 到 的 机 率 会 
较 小 ， 以 降低 使 用 的 效率 与 带宽 。 


[root@localhost /]# vi /etc/squid/squid.conf 
# Squid normally listens to port 3128 
http port 3128 // 端 口 3128，Cent0S 6.0 默认 启用 ， 之 前 的 版 本 需要 将 # 号 移 除 


配置 防火 墙 


Squid 代 理 服 务 器 配置 完成 后 ， 启 动 前 必须 要 在 防火 墙 中 开启 squid 代 理 服务 器 端口 3128， 
以 免 无 法 对 外 使 用 。 


[root@localhost /]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT 
//squid 端口 

-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


配置 完 防 火 墙 后 ， 必 须要 重新 启动 防火 墙 ， 配 置 才 会 生效 。 


[root@localhost /]# service iptables restart 

iptables: Flushing firewall rules: [GIC 
iptables: Setting chains to policy ACCEPT: filter [ OK 
iptables: Unloading modules: [ OK 
iptables: Applying firewall rules: [ OK 
iptables: Loading additional modules: nf conntrack ftp [ OK 


启动 squid 代 理 服务 器 


简单 的 squid 代 理 服务 器 配置 完成 后 ， 就 可 以 启动 squid 了， 如 果 该 服务 经 常 使 用 ， 建 议 配 
置 为 系统 默认 局 动 , 这样 重 新 启动 系统 后 就 会 自动 启动 该 服务 , 避免 忘记 启动 而 导致 无 法 使 用 。 
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[root@localhost /]# service squid start 
Starting squid: . [S OKT 


成 功 启动 squid 代 理 服务 器 后 ， 检 查 端口 3128 是 否 正常 开启 。 


[root@localhost Ak netstat -tunlp | grep piequid 
tcp 0 0 :::3128 : LISTEN 3127/ (squid) 
udp 0 0 :::52051 iii* 3127/ (squid) 


客户 端 使 用 squid 代 理 服务 器 


使 用 Windows 客 户 端 ， 设 置 InternetExplorer CIE) 浏览 器 使 用 Proxy 服 务 器 的 方法 如 下 ,【 工 
AY > [ntemm] > DERI > Dati i). 


ee I 


dem wA Per 


在 代理 服务 器 中 色 选 【为 LAN 使 用 代理 服务 器 〈 这 些 设 置 不 用 于 拨号 或 VPN 连 接 )】 i 

入 代理 服务 器 的 站 地 址 ， 和 端口 号 3128， 按 下 【确定 】 ， 即 完成 配置 并 可 以 使 用 。 

三 自 动 配置 
自动 配置 会 槛 盖 手 动 设置 。 要 确保 使 用 手动 设置 ， 请 禁用 自动 配置 
r 自动 检测 设置 A) 

T 使 用 自动 配置 类 本 S) 

HER) | ry 
E 
Tv 为 LAN 使 用 代理 服务 器 这 些 设置 不 用 于 拨号 或 VEN 连接) 0) 

地 二 加: bz 163.233.230 WOM): [zd SRo 
厂 跳 过 本 地 地 址 的 代理 服务 器 加) 


Lowe c] mw | 


WE ECFirefoxitl W 28 f HI Proxy k 28 (713A. [E31] > E8241 > E8281 > MEN 
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选择 【手动 配置 代理 〗 在 HITP 代理 中 配置 代理 服务 器 的 耳 地 址 和 端口 3128， 配 置 完成 
后 ， 按 【确定 】 即 完 成 配置 并 可 以 使 用 。 


C FORE: W 
| 
厂 为 所 有 协议 使 用 相同 代理 GO 
mu [  — —— o sd 
Er 代理 : mo: @ | oF 
FL ——— € 4 
C SOCKS G socis 5 


不 使 用 代理 : QD | localhost, 127.0.0.1 


PAN: .wezilla org -net nz, 192 100 1.0/24 
C 自动 代理 配置 W: (D 


[MT EMEN 
we] 取消 Log 


打开 浏览 器 后 ， 输 入 网 址 即 可 以 正常 浏览 网 页 。 


eR IML iic 


BBHTHAÉTARDRBEMIEWIE. ROSS ARES 


EIDEZIES P T1 "Ey 


D 


156 


第 11 章 
Squid (Proxy) 一 一 代理 服务 器 


11.2 配置 Squid 缓 存 目录 


Squid 代 理 服 务 器 的 cache 缓 存 目录 可 以 说 是 squid 的 硬盘 ， 每 当 用 户 要 求 连接 到 一 个 网 站 
时 ，squid 代 理 服务 器 会 先 到 cache 缓 存 目 录 中 检查 是 否 有 相同 的 数据 ， 如 果 有 相同 的 数据 就 不 
会 到 网 络 去 下 载 ， 而 是 直接 将 缓存 数据 提供 给 用 户 。 举 例 来 说 ， 同 一 时 间 有 3 位 用 户 要 连接 到 
yahoo， 第 一 位 用 户 连接 时 ，squid 查 询 cache 缓 存 目录 内 没有 数据 ，squid 代 理 服务 器 会 主动 去 
yahoo 下 载 一 份 网 页 数据 ， 当 第 二 位 用 户 要 连接 yahoo 时 ，cache 缓 存 目录 已 存在 一 份 网 页 数据 ， 
squid 代 理 服 务 器 就 将 cache 缓 存 目录 内 的 网 页 提供 给 第 二 位 用 户 ， 然 后 第 三 位 用 户 连接 时 ， 虽 
然 cache 中 有 一 份 网 页 数据 ， 但 是 Squid 代 理 服务 器 发 现 网 页 内 容 已 更 新 ，squid 代 理 服务 器 就 会 
自动 再 下 载 一 份 最 新 的 网 页 到 cache 缓 存 目录 内 ， 这 就 是 cache 的 好 处 。 

当 用 户 请 求 网 页 数据 时 ， 代 理 服务 器 所 获取 的 网 页 数据 会 存放 到 缓存 目录 内 ， 所 以 缓存 目 
录 的 大 小 ， 会 影响 squid 代 理 服 务 器 的 运行 ， 所 以 有 效 地 配置 缓存 目录 大 小 非常 重要 。 


开启 Squid 缓 存 目录 


要 修改 squid 代 理 服务 器 的 缓存 目录 ， 必 须要 编辑 squid 配 置 文件 ， 将 cache_dir 一 行 前 面 的 
【# 】 号 删除 ， 才 可 以 指定 squid 缓 存 目录 的 路 径 和 缓存 文件 大 小 ， 缓 存 目录 默认 路 径 为 
/var/spool/squid， 默 认 容 量 上 限 为 100MB， 可 以 按 需 求 修改 ,不 过 建议 不 要 将 容量 修改 得 过 大 ， 
以 免 影响 服务 器 效率 。 


[root@localhost /]# vi /etc/squid/squid.conf 
# Uncomment and adjust the following to add a disk cache directory. 


cache dir ufs /var/spool/squid 100 16 256 // 默 认 不 启用 ， 移 除 # 号 则 启用 


成 功 配置 缓存 目录 后 ， 必 须 重新 启动 squid 代 理 服务 器 ， 配 置 才 会 生效 ， 重 新 启动 的 时 间 
有 时 会 比较 长 ，cache 文 件 越 大 ， 启 动 速度 越 慢 。 


[root@localhost squid]# service squid restart 


Stopping squid: 2012/08/23 07:50:44| WARNING cache mem is larger than total disk cache 
space! 


OK 
init cache dir /var/spool/squid... Starting squid: . [aOR | 


CentOS 6.x 操 作 系统 在 安装 squid 后 ，cache 缓 存 目录 大 小 默认 为 100MB， 当 启动 时 会 警告 
要 求 使 用 更 大 的 容量 ， 不 用 理会 这 个 警告 ， 代 理 服 务 器 还 可 以 正常 运行 ， 以 前 版 本 配置 100MB 
是 不 会 有 任何 警告 的 ， 可 以 输入 命令 或 重新 启动 服务 检查 是 否 需要 加 大 。 


[root@localhost squid]# service squid status 
squid (pid 4311) is running... 
2012/08/23 09:39:39| WARNING cache mem is larger than total disk cache space! 


将 目录 切换 到 cache 缓 存 目 录 下 ， 检 查 cache 缓 存 目 录 名 称 squid， 查 看 squid 缓 存 目 录 的 属 
性 ， 发 现 拥有 者 及 群 组 都 是 squid。 


[root@localhost /]# cd /var/spool 
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[root@localhost spool]# 11 
total 40 


abrt abrt 4096 Nov 12 2010 abrt 

abrt abrt 4096 Nov 12 2010 abrt-upload 

root root 4096 Aug 19 07:09 anacron 

daemon daemon 4096 Aug 19 07:08 at 

root root 4096 Nov 11 2010 cron 

root root 4096 Nov 11 2010 lpd 

root mail 4096 Aug 20 10:18 mail 

root root 4096 Aug 23 05:22 plymouth 

root root 4096 Aug 19 07:09 postfix 

squid squid 4096 Aug 23 2012 squid //squid cache 默认 目录 


接 下 来 进入 squid 缓 存 目 录 ， 查 看 缓存 目录 内 的 所 有 文件 ， 有 一 个 文件 名 为 swap.state， 
swap.state 文 件 的 大 小 会 随 浏览 网 页 的 增多 而 增加 。 
[root@localhost /]# cd /var/spool/squid // 进 入 squid 默认 缓存 目录 


[root@localhost squid]# 11 
total 72 


squid squid 4096 Aug 23 07:51 00 
squid squid 4096 Aug 23 07:51 01 
squid squid 4096 Aug 23 07:51 02 
squid squid 4096 Aug 23 07:51 03 
squid squid 4096 Aug 23 07:51 04 
squid squid 4096 Aug 23 07:51 05 
squid squid 4096 Aug 23 07:51 06 
squid squid 4096 Aug 23 07:51 07 
squid squid 4096 Aug 23 07:51 08 
squid squid 4096 Aug 23 07:51 09 
squid squid 4096 Aug 23 07:51 0A 
squid squid 4096 Aug 23 07:51 0B 
squid squid 4096 Aug 23 07:51 0C 
squid squid 4096 Aug 23 07:51 0D 
squid squid 4096 Aug 23 07:51 0E 
squid squid 4096 Aug 23 07:51 OF 
squid squid 5040 Aug 23 07:52 swap.state 


11.3 清除 cache 缓 存 目录 


Squid 代 理 服务 器 的 cache 缓 存 目 录 会 自动 增 大 ， 当 用 户 要 求 连接 时 ，squid 代 理 服 务 器 就 会 
自动 到 网 络 上 读 取 所 需 数据 ， 连 接 的 网 页 越 多 ，cache 缓 存 目录 就 会 越 大 ， 不 过 目录 的 大 小 是 
有 限制 的 ， 所 以 也 需要 将 不 必要 的 数据 删除 ， 以 下 介绍 该 如 何 删除 cache 缓 存 目录 中 的 数据 。 


检查 cache 大 小 


默认 cache 缓 存 目录 路 径 为 /var/spool/squid，swap.state 文 件 会 随 着 代理 时 间 渐 渐变 大 ， 所 以 
有 必要 清除 cache， 以 免 影响 服务 效率 。 


[root@localhost /]# cd /var/spool/squid // 进 入 squid 默认 缓存 目录 
[root@localhost squid]# 11 
total 72 
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07:51 00 

Oy: ER h 

07:51 02 

07:51 03 

07:51 04 

07:51 05 

07:51 06 

07:52:07 

07:51 08 

07:51 09 

07:51 0A 

07:51 0B 

drwxr-x---. 258 squid squid 4096 Aug 23 07:51 OC 

drwxr-x---. 258 squid squid 4096 Aug 23 07:51 0D 

drwxr-x---. 258 squid squid 4096 Aug 23 07:51 OE 

drwxr-X---. 258 squid squid 4096 Aug 23 07:51 OF 

-IrWw-r----- . 1 squid squid 5760 Aug 23 07:57 swap.state 
/ [cache 文件 会 越 来 越 大 


清除 cache 缓 存 目录 


进入 cache 缓 存 目录 ， 先 关闭 squid 代 理 服务 ， 然 后 删除 swap.state 文 件 ， 再 次 检查 swap.state 
文件 ， 确 认 swap.state 删 除 后 ， 重 新 启动 squid 代 理 服 务 。 


[root@localhost /]# cd /var/spool/squid // 进 入 默认 缓存 目录 
[root@localhost squid]# service squid stop // 关 闭 squid 代理 服务 
Stopping squid: scere a 2. [ OK: 7 


[root@localhost squid]# rm -rf /var/spool/squid/swap.state  // 删 除 缓存 文 件 
[root@localhost squid]# 11 

total 64 

drwxr-x---. 258 squid squid 4096 Aug 23 09:32 00 


drwxr-x---. 258 squid squid 4096 Aug 23 09:32 01 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 02 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 03 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 04 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 05 


drwxr-x---. 258 squid squid 4096 Aug 23 09:32 06 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 07 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 08 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 09 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 0A 


drwxr-X---. 258 squid squid 4096 Aug 23 09:32 0B 

drwxr-x---. 258 squid squid 4096 Aug 23 09:32 0C 

drwxr-x---. squid squid 4096 Aug 23 09:32 0D 

drwxr-x---. squid squid 4096 Aug 23 09:32 0E 

drwxr-x---. 258 squid squid 4096 Aug 23 09:32 OF 

-IW-r----- A 1 squid squid 0 Aug 23 09:51 swap.state.last-clean 
[root@localhost squid]# service squid start  // 启 动 squid 服务 
Starting squid: . [ OK ] 
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检查 是 否 已 正确 清除 cache 


删除 swap.state 后 ， 启 动 服务 开放 给 用 户 继续 使 用 后 ， 检 查 cache 缓 存 目 录 内 是 否 有 新 建立 
的 swap.state， 新 的 swap-.state 文 件 容量 极 小 ， 表 示 以 上 操作 都 成 功 ， 建 议 将 删除 swap.state 加 入 
计划 任务 中 ， 这 样 可 以 让 squid 代 理 服 务 器 运行 流畅 。 


[root@localhost squid]# 11 // 查 看 缓存 目录 
total 68 

drwxr-x---. 258 squid squid 4096 Aug 23 09:32 00 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 01 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 02 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 03 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 04 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 05 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 06 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 07 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 08 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 09 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 0A 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 0B 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 0C 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 0D 
drwxr-x---. 258 squid squid 4096 Aug 23 09:32 OE 


drwxr-x---. 258 squid squid 4096 Aug 23 09:32 OF 
-IrWw-r----- ^ 1 squid squid 72 Aug 23 09:54 swap.state 
// 缓 存 目录 文件 内 容 清除 成 功 


11.4 配置 Squid 连 接 限制 


Squid 代 理 服务 器 可 有 效 管理 连接 限制 ， 可 以 让 squid 代 理 服 务 器 的 效率 及 带宽 达到 有 效 的 
利用 ， 如 果 不 做 任何 配置 ， 任 何人 都 可 以 使 用 Proxy 服 务 器 ， 会 对 squid 代 理 服 务 器 的 效率 及 带 
宽 有 带 有 大 负担 ， 尤 其 是 带宽 ， 如 果 使 用 不 当 ， 有 可 能 会 拖 垮 网 络 环境 。 


限制 指定 网 段 (192.168.233.10~192.168.233.20) 无 法 连接 


squid 代 理 服 务 器 可 限制 某 一 网 段 不 可 以 使 用 Proxy 服 务 器 ， 其 他 网 段 可 以 使 用 。 编 辑 squid 配 
置 文件 ， 使 用 ACL 语 法 配置 所 要 限制 的 网 段 耳 地址 ， 然 后 限制 此 段 ACL 不 可 以 使 用 Proxy 服 务 器 。 


[root@localhost /]# vi /etc/squid/squid.conf 


~ 中间 省 略 .… 
acl clientdeny src 192.168.233.10-192.168.233.20/32 // 限 制 网 段 
http access deny clientdeny // 限 制 读 取 网 络 


可 以 自行 定义 clientdeny 连 接 名 称 ， 不 过 要 上 下 两 行 一 致 ， 否 则 不 会 4 
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修改 squid 代 理 服 务 器 配置 文件 后 ， 必 须 重 新 启动 服务 ， 否 则 配置 不 会 生效 。 


[root@localhost /]# service squid restart 
Stopping) Squid? so se Rv de [ OK ] 
Starting squid: . [ OK J 


配置 限制 网 段 后 ， 下 面 来 测试 配置 结果 ， 限 制 网 段 的 PC 使 用 Proxy 服 务 器 时 都 会 被 禁止 连 
接 ， 如 下 图 所 示 。 


ERROR 


The requested URL could not be retrieved 


A URL ERAT RAR: htto/Arww baidu com 
访问 被 拒绝 ， 


Access control configuration prevents your request from being allowed at this tine, Please contact your service 
provider f you fee! this is incorrect 


RUBRI root 


BE Certi Geld 1.10) ER FH 21 aq 


限制 某 IP 地 址 无 法 连接 

squid 代 理 服务 器 可 以 限制 某 一 IP 地 址 不 可 以 使 用 ， 其 他 下 地 址 都 可 以 使 用 。 编 辑 squid 配 
置 文件 ， 使 用 ACL 语 法 配置 所 要 限制 的 下地 址 。 
[root@localhost /]# vi /etc/squid/squid.conf 


acl clientdeny src 192.168.233.100/32 // 限 制 此 IP 地 址 不 可 以 连接 
http access deny clientdeny 


» EE 


可 以 自行 定义 clientdeny 连 接 名 称 ， 不 过 要 上 下 两 行 一 致 ， 否 则 不 会 生 


修改 squid 代 理 服务 器 配置 文件 后 ， 必 须 重新 启动 服务 ， 否 则 配置 不 会 生效 。 


[root@localhost /]# service squid restart 


Stopping squid: .a [OK Í 
Starting squid: . [ OK ] 


限制 下 地 址 后 ， 来 测试 配置 结果 ， 所 限制 的 下 地 址 使 用 Proxy 服 务 器 时 都 会 被 禁止 连接 ， 
所 显现 的 信息 与 限制 网 段 的 信息 相同 。 


限制 读 取 指 定 的 网 站 


squid 代 理 服务 器 限制 用 户 不 可 以 连接 到 特定 网 站 ， 其 他 网 站 都 可 以 正常 连接 。 编 辑 squid 
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配置 文件 ， 使 用 ACL 语 法 配置 所 要 限制 的 网 站 。 例 如 ， 要 限制 Yahoo 所 有 的 网 址 ， 则 输入 内 容 
是 .yahoo.com.cn， 如 果 只 是 yahoo 首 页 ， 则 输入 内 容 为 www. yahoo.com.cn。 
[root@localhost /]# vi /etc/squid/squid.conf 


acl domain dstdomain .yahoo.com.cn // 配 置 限制 的 域名 
http_access deny domain // 禁 止 连接 的 网 站 


domain 连 接 名 称 可 以 自行 定义 ， 不 过 要 上 下 两 行 一 致 ， 否 则 不 会 生效 。 


修改 squid 代 理 服务 器 配置 文件 后 ， 必 须 重新 启动 服务 ， 否 则 配置 不 会 生效 。 


[root@localhost /]# service squid restart 
SboppinguBquid; c c EE [ OK ] 
Starting squid: . [ OK ] 


squid 代 理 服务 器 服务 重新 启动 后 ， 测 试 配置 结果 ，yahoo 网 站 确实 不 可 以 连接 。 


en ERROR 


The requested URL could not be retrieved 


SERME URL RP BRITE : http: //www.yehoo.com.cy, 
‘DARE. 


Arrese control configuration prevents your request fram being alowed at this tima, lease contact your service 
provider if vou feel this is incorre 


FRSBAWWA jerygjerry com.cn, 


ZE CentO5-6 (squid/3.110) Kk Sat 01 Sep 2012 0010936 GMT 


配置 禁止 网 站 清 


Squid 代 理 服 务 器 可 以 配置 拦截 网 站 ， 不 过 如 果 网 站 太 多 ， 一 个 一 个 输入 后 ， 配 置 文件 会 
很 乱 ， 不 好 管理 ， 如 果 可 以 配置 拦截 网 站 清单 ,配置 文件 就 会 比较 简洁 ， 以 下 步骤 说 明 如 何 配 
置 一 份 拦截 网 站 的 清单 。 当 用 户 要 求 连接 时 ，squid 代 理 服务 器 会 对 比 列表 ， 如 果 该 网 站 不 在 
清单 内 ， 则 可 以 正常 浏览 ， 清 单 内 如 果 有 该 网 址 ， 则 不 允许 连接 。 

在 /etc/squid/ 目 录 下 建立 一 份 拦截 网 站 清单 ， 文 件 名 为 urldenytxt， 拦 截 yahoo.com.cn 及 
pchoe.com 两 个 网 址 。 


[root@localhost /]# vi /etc/squid/urldeny.txt 
.pchome.com 
.yahoo.com.cn 
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单 文件 的 文件 名 可 以 自 定义 ， 不 过 要 与 ACL 内 容 一 致 。 


编辑 squid 配 置 文件 ， 使 用 ACL 语 法 配置 拦截 网 站 列表 ， 先 输入 拦截 网 站 列表 的 文件 路 径 ， 
再 将 之 设 为 拦截 连接 。 
[root@localhost /]# vi /etc/squid/squid.conf 


acl denyurl url regex "/etc/squid/urldeny.txt"// 配 置 拦截 文件 和 路 径 
http access deny denyurl // 拦 截 清单 内 的 网 址 


Squid 代 理 服务 器 配置 文件 修改 后 ， 必 须 重新 启动 服务 ， 否 则 配置 不 会 生效 。 


[root@localhost /]# service squid restart 
Stopping, squids e ee [ OK ] 
Starting squid: . [ OK ] 


重新 启动 服务 后 ， 打 开 浏览 器 ， 输 入 【http:/www.yahoo.com.cn】 会 显示 如 下 信息 ， 这 代 
表 拦 截 网 站 清单 配置 成 功 。 


ERROR 
The requested URL could not be retrieved 


当知 试 职 回访 URL REST ARR: http://www.yahoo.com nf 
访问 被 拒绝 。 


Access control configuration prevents your request from being allowed at this time. Please contact your service 
provider if you feel this is incorrect. 


SRS REUTERS root. 


EE CentO5-6 (squidj3.1,10) £k Sat OL Sep 2012 00:19:21 GMT 


限制 用 户 连接 时 间 


Squid 代 理 服务 器 可 以 限制 用 户 在 规定 的 时 间 范 围 内 连接 不 到 特定 网 址 ， 其 他 时 间 皆 可 以 
正常 连接 。 编 辑 squid 配 置 文件 ， 使 用 ACL 语 法 配置 所 要 限制 的 时 间 。 例 如 ， 限 制 每 个 星期 天 
的 11:00~12:00 不 可 以 连接 。 

[root@localhost /]# vi /etc/squid/squid.conf 


acl timedeny time S 11:00-12:00 // 限 制 连接 时 间 
http access deny timedeny 


163 


CentOS 6.x 系统 管理 实战 宝典 


timedeny 连 接 名 称 可 以 自行 定义 ， 不 过 要 上 下 两 行 一 致 ， 否 则 不 会 生 交 
星期 及 英文 代码 如 下 表 所 示 。 

星期 | 一 | 二 六 | 天 
代码 | M T A s 


squid 代 理 服 务 器 配置 文件 修改 后 ， 必 须 重 新 启动 服务 ， 否 则 配置 不 会 生效 。 只 要 用 户 在 
该 时 段 使 用 Proxy 服 务 器 就 会 无 法 连接 。 
[root@localhost /]# service squid restart 


cpr ne p M 
Starting squid: . 


o 
wa 


OK ] 


11.5 使 用 ncsa_auth 认证 


Proxy 服 务 器 目前 是 被 广泛 使 用 的 代理 服务 器 ， 网 络 上 有 很 多 的 Proxy List 网 站 ， 专 门 收集 
对 外 服务 的 Proxy 服 务 器 ,每 天 都 会 更 新 ， 不 过 这 些 网 站 都 是 由 一 些 软件 去 扫描 3128 或 80 Port, 
所 以 很 多 未 经 配置 的 Proxy 服 务 器 常常 都 是 榜 上 有 名 , 一 旦 被 公开 使 用 , 不 仅 会 拖 慢 网 络 速度 ， 
也 很 容易 被 当成 跳板 使 用 ， 建 议 在 Proxy 服 务 器 加 上 一 层 账 户 认证 和 密码 保护 ， 即 使 用 Proxy 
服务 器 时 必须 输入 账号 和 密码 才 可 以 使 用 ， 如 果 账 号 和 密码 未 通过 的 话 ， 就 无 法 使 用 Proxy 服 
务 器 ， 这 样 就 可 以 减少 Proxy 服 务 器 被 使 用 在 不 当 的 地 方 。 认 证 账号 密码 的 方式 有 两 种 ， 一 种 
是 对 LDAP 认 证 ， 一 种 是 使 用 htpasswd 建 立 认 证 账号 和 密码 ， 这 里 使 用 htpasswd 建 立 认证 账号 
和 密码 方式 。 


建立 Squid 认 证 账号 和 密码 


使 用 htpasswd 建 立 squid 认 证 账号 和 密码 ， 并 配置 为 所 有 人 都 可 读 。 


[root@localhost /]# htpasswd -c /etc/squid/passwd jerry 
// 建 立 Squid 认证 账号 和 密码 

New password: 

Re-type new password: 

Adding password for user jerry 


[root@localhost /]# chmod o«r /etc/squid/passwd // 配 置 为 所 有 人 都 可 读 


检查 nsca_auth 认 证 服务 


检查 nsca_auth 目 录 位 置 ， 确 定 nsca_auth 目 录 为 /usr/lib64/squid/nesa_auth。 
[root@localhost /]# rpm -ql squid | grep ncsa auth // 检 查 nsca_auth 目录 位 置 


/usr/lib64/squid/ncsa auth 
/usr/share/man/man8/ncsa auth.8.gz 
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. 


配置 Squid 认 证 使 用 nsca_auth 


CentOS 6.x 之 前 的 版 本 ， 配 置 文件 内 容 很 多 ,但 是 之 后 的 版 本 内 容 减 少许 多 ， 都 必须 要 自 

行 配置 输入 ， 配 置 使 用 nsca_auth 认 证 方式 。 位 置 是 很 重要 的 ， 有 几 点 要 注意 ， 第 一 ，auth_parm 

- 定 要 在 acl 前 面 ， 否 则 会 出 现 Can't use proxy auth because no authentication schemes are fully 
configured 错 误 ; 第 二 ， 要 将 auth_parm 放 在 最 前 面 ， 否 则 不 会 出 现 认证 窗口 。 


[root@localhost /]# vi /etc/squid/squid.conf 

Li 

auth param basic program /usr/lib64/squid/ncsa auth /etc/squid/passwd 
auth param basic children 5 

auth param basic realm Welcome proxy-squid web server 

// 认证 方式 及 账号 和 密码 位 置 

// 5 个 程序 来 验证 需求 

// 登入 时 欢迎 词 

# Recommended minimum configuration: 

acl manager proto cache object 

acl localhost src 127.0.0.1/32 

acl localhost src ::1/128 

acl to localhost dst 127.0.0.0/8 0.0.0.0/32 

acl to localhost dst ::1/128 

acl squid user proxy auth REQUIRED // 验 证 的 ACL 
http access allow squid user 


/usr/lib64/squid/ncsa auth nsca auth 目录 位 置 
/etc/squid/passwd squid 认证 密码 位 置 


| 记得 要 启动 Apache 服 务 ， 如 果 没 有 安装 Apache， 请 先 安装 。 | 


Squid 代 理 服务 器 配置 完成 后 ， 必 须 重 新 启动 服务 ， 配 置 才 会 生效 。 


[root@localhost /]# service squid restart 
SEODpingEBquild qo nagconcenaauoce 
Starting squid: . [ OK 


o 
m 


测试 Squid 认 证 服务 


如 果 已 预先 配置 好 使 用 Proxy 服 务 器 ， 打开 浏 览 器 会 先 跳出 一 个 询问 Squid 账 号 和 密码 的 对 


PEE morproey://192 163 233.290 3026 IRR PREIEBI (REDI: “Weleont prexysquid 
TÀ Server” 
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输入 squid 代 理 服务 器 的 认证 账号 和 密码 ，squid 代 理 服务 器 认证 成 功 后 ， 即 可 以 正常 使 用 
Proxy 服 务 器 浏览 网 页 ， 如 下 图 所 示 。 


MAD ee 

DER — E 
HOO!, MA Es AR R m E 

“YAHOO at - 


Q w*am 


如 果 认 证 账号 和 密码 输入 错误 或 没有 输入 账号 和 密码 ， 则 无 法 浏览 网 页 ， 如 下 图 所 示 ， 请 
重新 输入 或 检查 账号 和 密码 是 否 有 误 。 


Cache 访问 被 拒绝 。 


Msn Br URL RH REDE: http: /Dwww yahoo .com.onj 
SHREK: 


PUR RR PR BT http://www. yahoo.com.cn/ 降 非 您 通过 了 我 们 9 身份 验证 。 
JORIS 发 生 轩 难 ， 请 与 管理 者 联系 。 或 是 更 改名 的 密码 ， 


Be CertoS-6 (squd/3.1,10) al Sat 01 $e 2012 00)5041 3NT 


11.6 SARG 监 控 squid 代 理 服 务 器 


SARG 官 方 网 站 : http://sarg.sourceforge.net/ . 
squid 代 理 服务 器 的 缺点 就 是 记录 文件 过 于 复杂 ， 一 般 来 说 要 完全 阅读 CentOS 操 作 系统 的 
记录 文件 是 非常 困难 的 ， 所 以 必须 依赖 其 他 工具 来 整理 ，Squid Analysis Report Generator 
(SARG) 产生 的 报表 可 以 让 我 们 轻松 地 掌握 squid 代 理 服务 器 的 使 用 记录 ， 以 便 了 解 Proxy 服 
务 器 的 运行 。 
在 安装 SARG 软 件 前 ， 必 须要 安装 Apache 网 页 服务 器 ， 因 为 SARG 以 网 页 方式 呈现 ， 所 以 
必须 要 安装 Apache 并 启动 。 


下 载 SARG 软 件 


可 以 从 官方 网 站 下 载 SARG 软 件 ， 或 者 可 以 使 用 其 他 网 站 包装 好 的 RPM 安装 ， 在 此 使 用 
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RPM 安装 ， 目 前 没有 看 到 el6 的 软件 ， 不 过 el5 的 软件 一 样 可 以 使 用 。 


[root@localhost ]# wget http://pkgs.repoforge.org/sarg/sarg-2.3-1.el5.rf.x86 64.rpm 
<- 中间 省 略 - 


Saving to 
100% [== ===>] 323,184 142K/s in 2.2s 


2012-08-30 04:27:27 (142 KB/s) - "sarg-2.3-1.el5.rf.x86 64.rpm" saved [323184/323184] 


"sarg-2.3-1.e15.rf.x86 64.rpm" 


: http://dag.wieers.com/rpny/packages/sarg/ o 


安装 SARG 软 件 时 发 生 错误 ， 错 误 信 息 显 示 SARG 必 须 安 装 GD 软 件 。 


[root@localhost ~]# rpm -ivh sarg-2.3-1.el5.rf.x86 64.rpm 
warning: sarg-2.3-1.e15.rf.x86 64.rpm: Header V3 DSA/SHA1 Signature, key ID 6b8d79e6: 
NOKEY 
error: Failed dependencies: 
gd »- 1.8 is needed by sarg-2.3-1.e15.rf.x86 64 
libgd.so.2 () (64bit) is needed by sarg-2.3-1.e1l5.rf.x86 64 


由 于 缺少 GD 软件 ， 所 以 由 yum 在 线 更 新 方式 进行 安装 。 


[root@localhost /]# yum install -y gd // 安 装 GD 软件 
Dependencies Resolved 


Installing: 
gd X86_64 2.0.35-10.e16 base 142 k 
Transaction Summary 


Package (s) 
Upgrade 0 Package (s) 
Total download size: 142 k 


GD 软件 安装 完毕 后 ， 再 次 安装 SARG 的 rpm 文 件 ， 则 可 以 安装 成 功 。 


[root@localhost ~]# rpm -ivh sarg-2.3-1.el5.rf.x86 64.rpm 
warning: sarg-2.3-1.el5.rf.x86 64.rpm: Header V3 DSA/SHA1 Signature, key ID 6b8d79e6: 
NOKEY 
Preparing... JHEHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE [100%] 
1:sarg JHEHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE [1003] 


编辑 /etc/httpd/conf.d 下 的 SARG 配 置 文件 


编辑 sarg 配 置 文件 ， 默 认 只 允许 本 机 下 地 址 浏览 。 如 果 要 让 所 有 人 都 可 以 浏览 ， 必 须 使 所 
有 网 段 允许 连接 。 
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[root@localhost html]# vi /etc/httpd/conf.d/sarg.conf 
Alias /sarg /var/www/sarg 
«Directory /var/www/sarg» 

DirectoryIndex index.html 

Order deny,allow 


# Deny from all // 取 消 限制 所 有 网 段 不 可 以 连接 
Allow from all 
# Allow from 127.0.0.1 // 停 用 只 允许 本 机 IPv4 连接 
# Allow from ::1 // 停 用 只 允许 本 机 IPv6 连接 
# Allow from your-workstation.com 
</Directory> 


国 说明， 


如 果 没 有 修改 上 述 配 置 会 出 现 错 误 信息 ， 显 示 没 有 权限 ， 如 下 图 所 示 。 


Forbidden 


You don't have permission to access /sarg/ on this server 


Apache/2.2.15 (CentOS) Server at 192.168.233.230 Port 80 


配置 SARG 配 置 文件 


SARG 配 置 文件 内 有 很 多 配置 ， 不 过 刚 安 装 好 SARG 后 ， 不 一 定 要 马上 配置 ， 可 以 将 下 列 
几 个 配置 值 作 为 参考 。 


[root@localhost ~]# vi /etc/sarg/sarg.conf 
# sarg.conf 


# 
# TAG: language 
中间 和 省略.…. 


#language English 
// 默 认为 英文 ， 如 果 有 中 文 语言 包 可 以 切换 语言 ， 如 果 要 使 用 其 他 语言 ， 要 将 # 移 除 


“中 间 省 略 .… 

# TAG: access log file 

# Where is the access.log file 

# sarg -1 file 

# 

#access_log /usr/local/squid/var/logs/access.log 

access log /var/log/squid/access.log // 分 析 日 志文 件 位 置 
“中间 省 略 .… 

# TAG: title 

# Especify the title for html page. 

# 

#title "Squid User Access Reports" // 网 站 标题 名 称 
-中 间 省 略 .… 

# TAG: temporary dir 

# Temporary directory name for work files 

# sarg -w dir 

# 
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#temporary dir /tmp // 分 析 数 据 存储 位 置 

-中 间 省 略 … 

# TAG: output dir 

# The reports will be saved in that directory 

# sarg -o dir 

# 

#output_dir /var/www/html/squid-reports 

output_dir /var/www/sarg/ONE-SHOT // 分 析 数据 生成 位 置 
中间 和 省略.…. 

# TAG: output email 

# Email address to send the reports. If you use this tag, no html reports will be 
generated. 

# sarg -e email 

# 

#output_email none 

-中间 省 略 .… 

# TAG: charset name 

# ISO 8859 is a full series of 10 standardized multilingual single-byte coded (8bit) 
# graphic character sets for writing in alphabetic languages 
# You can use the following charsets: 

# Latinl - West European 

# Latin2 - East European 

# Latin3 - South European 

# Latin4 - North European 

# Cyrillic 

# Arabic 

# Greek 

# Hebrew 

# Latin5 - Turkish 

# Latin6 

# Windows-1251 

# Koi8-r 

# 

#charset Latinl // 网 页 编码 


重新 启动 Apache 服 务 


编辑 SBARG 配 置 文 件 ， 根据 需求 修改 配置 , 修改 所 有 配置 后 必须 重新 启动 Apache 服 务 器 ， 
否则 配置 无 法 生效 。 


[root@localhost ~]# service httpd restart // 重 新 启动 Apache 
Stopping httpd: [ OK ] 
Starting httpd: [ OK ] 


生成 每 日 、 周 、 月 报表 


SARG 可 以 根据 日 、 周 、 月 报表 收集 squid 代 理 服务 器 的 数据 。 建 议 自 行 加 入 计划 任务 以 便 
每 天 生成 。 
[root@localhost ~]# sarg -o /var/www/sarg/ONE-SHOT // 一 次 报表 


SARG: Records in file: 1357, reading: 100.00% 
[root@localhost ~]# sarg -o /var/www/sarg/daily // 日 报表 
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SARG: Records in file: 1357, reading: 100.00$ 


[root@localhost ~]# sarg -o /var/www/sarg/weekly // 周 报表 
SARG: Records in file: 1357, reading: 100.00% 


[root@localhost ~]# sarg -o /var/www/sarg/monthly  // 月 报表 
SARG: Records in file: 1357, reading: 100.00% 


SARG 报 表 


打开 浏览 器 ， 输 入 【http://IP/sarg】)， 就 可 以 开启 SARG 首 页 ，SARG 报 表 分 为 一 次 、 
周 、 月 报表 。 


Squid User's Access Report 


DIRECTORY DESCRIPTION 


ONE-SHOT One shot reports 


daily Daily reports 
weekly Weekly reports 
monthly Monthly reports 


SARG 会 依 每 个 时 间 平 均 产生 流量 报表 ， 单 击 进 入 可 以 看 到 更 多 信息 。 


quid Analysis Report Generator 
Access Report 

FILE/PERIOD CREATION DATE USERS BYTES AVERAGE 

234M 117M 


234M 117M 


2012Sep02-2012Sep03 2012 年 09 月 03 日 星期 一 00 时 58 分 19 秒 2 
2012Sep02-2012Sep037 2012 年 09 月 03 日 星期 一 00 时 57 分 50 秒 2 


Generated by sarg-2 3 1 Sep-18-2010 on 99/03/2012 00:58 


SARG 会 对 每 个 IP 地 址 做 流量 的 统计 表 。 


‘quid Analysis Report Generator 
Squid User Access Report 
Period: 2012 9 月 02—2012 9H 03 
Sort bytes, reverse 
Top users 
Top cites 
Sites & Users 
Authentication Failures 


USERID CONNECT BYTES %BYTES IN-CACHE-OUT ELAPSED TIME MILLISEC %TIME] 
1 E jery 785 12.40M 82.68% 0.22% 99.78% 00:03:08 188.287 24.66% 
2 GH 192.168.2331 485 256M 17.10% 4.56% 95.44% 000926 566468 74.18% 
3 ME 192 162 233.200 34 32.72K 0.22% 49.88% 50.12% 00:00:08 8.929 1.17% 
TOTAL 130K 1499M 1.07% 98.93% 00:12:43 763.684 
AVERAGE 434 499M 


00:04:14 254.561 
Generated by sarg-2.3.1 Sep-18-2011 


0 on 9/03/2012 01:18 


AIP HE, o AAE MA OU Le PE RA TERURE o 
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Terr repart 
ACCESSED SITE CONNECT BY 


Bl safebroming-c he google com 153 


11.7 Dansguardian 过 滤 不 当 网 站 


Dansguardian 官 方 网 站 : http://dansguardian.org. 

Dansguardian 是 一 套 免费 的 Proxy filter， 可 以 帮助 我 们 限制 Client 端 访 问 不 应 该 访问 的 网 
页 ， 它 具有 强大 的 功能 。Dansguardian 所 具备 的 特征 有 : 执行 速度 很 快 、 要 求 的 计算 机 资源 不 
大 ， 可 以 过 滤 指定 的 URI 或 IP, 可 以 指定 哪些 文件 不 可 以 下 载 ， 如 mp3、vbs 等 。Content filtering 
是 指 过 滤 网 页 的 内 容 。 


下 载 Dansguardian 软 件 


Dansguardian 软 件 可 以 从 官方 网 站 下 载 ， 或 者 可 以 使 用 其 他 网 站 包装 好 的 RPM 安 装 ， 在 此 
使 用 RPM 安 装 。 
[root@localhost ~]# wget 


http://pkgs.repoforge.org/dansguardian/dansguardian-2.10.1.1-1.e16.rf.x86 64.rpm 
Saving to: "dansguardian-2.10.1.1-1.e16.rf.x86 64.rpm" 


==>] 463,096 57.5K/s in 8.1s 
"dansguardian-2.10.1.1-1.e16.rf.x86 64.rpm" saved 


2012-08-30 05:47:43 (56.0 KB/s) 
[463096/463096] 


安装 Dansguardian 软件 


下 载 好 Dansguardian 的 rpm 文件 后 ， 即 可 安装 Dansguardian. 


[root@localhost ~]# rpm -ivh dansguardian-2.10.1.1-1.e16.rf.x86 64.rpm 


warning: dansguardian-2.10.1.1-1.e16.rf.x86 64.rpm: Header V3 DSA/SHA1 Signature, key ID 
6b8d79e6: NOKEY 


Preparing... THHHHHHHHHHHHHHHHHHHHHHHHHHHHHBHHHHHHHHHHHHHE [1003] 


1:dansguardian JHEHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHEHHHHHHHHE [1003] 


修改 配置 文件 


安装 Dansguardian 后 ， 必 须 做 一 些 与 Proxy 服 务 器 之 间 的 配置 ， 否 则 无 法 使 用 。 编 辑 
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Dansguardian 配 置 文件 ， 配 置 Dansguardian 语 言 ， 默 认为 ukenglish， 将 之 改 成 简体 中 文 。 


[root@localhost ~]# vi /etc/dansguardian/dansguardian.conf 


dk dk db SE SE db od 


languagedir 


using the perl cgi script. 
and easier to customise the access denied page. 
The language file is used no matter what setting however. 


= '/usr/share/dansguardian/languages' 


# language to use from languagedir. 
language = 'chinesegb2312'// 默 认为 ukenglish 英文 ， 修 改 为 简体 中 文 chinesegb2312 


如 果 不 确定 


T 
是 否 


有 需要 的 语 


languages， 查 找 需要 的 语言 包 。 


言 包 ， 查 看 languagedir 语 


[root@localhost ~]# 11 /usr/share/dansguardian/languages 


total 108 

drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
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drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
drwxr-xr-x. 
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dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
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dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
dansguardian 
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dansguardian 
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Language dir where languages are stored for internationalisation. 

The HTML template within this dir is only used when reportinglevel 

is set to 3. When used, DansGuardian will display the HTML file instead of 
This option is faster, cleaner 


// 语 言 文件 目录 


言 包 目录 /etc/dansguardian/ 


arspanish 
bulgarian 
chinesebig5 
chinesegb2312 
Czech 

danish 

dutch 

french 
german 
hebrew 
hungarian 
indonesian 
italian 
japanese 
lithuanian 
malay 
mxspanish 
polish 
portuguese 
ptbrazilian 
russian-1251 
russian-koi8-r 
Slovak 
spanish 
swedish 
turkish 
ukenglish 


编辑 Dansguardian 配 置 文件 ，filterport 配 置 Dansguardian 使 用 的 端口 默认 为 8080， 如 果 无 冲 


突 ， 


建议 不 


日 修改 。Dansguardian 使 用 的 Proxy 服 务 器 的 下 地 址 ， 默 认为 127.0.0.1， 如 果 


$113 
Squid (Proxy) 一 一 代理 服务 器 


Dansguardian 与 Proxy Server 是 在 同一 主机 上 ， 则 无 需 修 改 ， 如 果 是 在 另 一 台 主 机 上 则 必须 配 
置 该 主机 了 瑟 。 配 置 Dansguardian 使 用 的 Proxy 主 机 Port， 默 认为 3128， 若 Dansguardian 5j Proxy 
Server 是 在 同一 主机 上 ， 则 无 需 修改 ， 如 果 是 在 另 一 台 主 机 上 则 必须 配置 该 主机 Proxy 使 用 的 
Proxy Port。 如 果 使 用 简体 中 文 ， 必 须 将 forcequicksearch 设 为 on， 默认 为 off。 


[root@localhost ~]# vi /etc/dansguardian/dansguardian.conf 

# Network Settings 

# 

# the IP that DansGuardian listens on. If left blank DansGuardian will 
# listen on all IPs. That would include all NICs, loopback, modem, etc. 
# Normally you would have your firewall protecting this, but if you want 
# you can limit it to a certain IP. To bind to multiple interfaces, 

# specify each IP on an individual filterip line. 

filterip = 


# the port that DansGuardian listens to. 
filterport = 8080 / [9k Dansguardian 端口 


# the ip of the proxy (default is the loopback - i.e. this server) 
proxyip - 127.0.0.1 


/ / Proxy 服务 器 与 Dansguardian 在 同一 主机 ， 则 无 需 修改 ， 否 则 必须 配置 为 该 Proxy 服务 器 


# the port DansGuardian connects to proxy on 
proxyport - 3128 


/ /'& Proxy 服务 器 端口 为 3128， 则 无 需 修改 ， 否 则 需 修改 为 相对 的 端口 


-中 间 省 略 … 

# Force Quick Search rather than DFA search algorithm 

# The current DFA implementation is not totally 16-bit character compatible 
# but is used by default as it handles large phrase lists much faster. 

# If you wish to use a large number of 16-bit character phrases then 

# enable this option. 

# off (default) | on (Big5 compatible) 

forcequicksearch - on // 默 认为 off， 必 须 设 为 on 


配置 防火 墙 


Dansguardian 需 在 防火 墙 中 开启 8080 端 口 ， 这 样 才 可 以 对 外 连接 ， 否 则 无 法 使 用 。 


[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT 
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-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT 
// Dansguardian 端口 


-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 


防火 墙 配置 完毕 后 ， 必 须 重 新 启动 防火 墙 服务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: [ OK ] 
iptables: Setting chains to policy ACCEPT: filter [ OK ] 
iptables: Unloading modules: [ OK ] 

[ OK ] 


iptables: Applying firewall rules: 


启动 Dansguardian 服 务 
- 切 配置 完成 后 ， 就 可 以 启动 Dansguardian 了 ， 请 将 Dansguardian 配 置 为 默认 启动 ， 输 入 
【chkconfig dansguardian on】， 以 免 重新 启动 后 ， 启 动 squid 时 忘记 启动 Dansguardian。 


[root@localhost ~]# service dansguardian start 
Starting Web Content Filter (dansguardian) : [L Œ 


配置 客户 端 


Dansguardian 配 置 完成 后 ， 客 户 端 原本 使 用 的 是 squid 代 理 服务 器 默认 的 端口 3128， 但 要 使 
用 Dansguardian， 就 要 将 配置 都 指向 Dansguardian， 打 开 浏览 器 ， 选 择 【工具 】?>【Internet 选 
Hi] Dg. nen Us buie. 


wa | 安全 | 隐私 | 内 容 连接 | 程序 pam | 


PS MENS ARE OD 


在 【代理 服务 器 】 选 项 中 ， 勾 选 【 为 LAN 使 用 代理 服务 器 (这 些 设置 不 会 应 用 于 拨号 或 
VPN 连 接 )】， 将 地 址 配置 为 Proxy Server 的 人 P 地 址 ， 将 端口 配置 为 Dansguardian 的 filterport 即 
8080， 配 置 完 成 后 ， 按 【确定 】 
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局 域 同 (LAW) 设置 HEI 
一 自动 配置 


peewee. 要 确保 使 用 手动 设置 ， 请 禁用 自动 配 
厂 自动 检测 设置 D 
T 使 用 自动 配置 脚本 E) 

Hir) 
代理 服务 器 1 
V BA ORES A) LEAR TSORTR SR 


: pa: 168.233. 230 PO en: 


厂 EETZERERERET ERE TERES BE O 


如 果 用 户 继续 使 用 端口 3128 的 话 ，Dansguardian 就 无 法 阻挡 。 


测试 Dansguardian 是 否 阻挡 不 良 网 站 


打开 浏览 器 ， 在 百度 中 输入 关键 词 ， 大 部 分 不 良 网 站 都 会 被 阻挡 ， 如 下 图 所 示 。 
访问 被 拒绝 - 


访问 该 网 页 : 
httpz//eww. bai du. con/s?wd-scxürsv bp=08&rsy spt=3&inputJ=4172 
e 因 以 下 原因 而 被 拒绝 : 


担 过 短 话 的 权重 限制 - 


查看 Dansguardian 纪 录 文 件 ， 可 以 看 到 非法 字符 ， 说 明 Dansguardian 阻 挡 成 功 。 


[root@localhost lists]# tail -f /var/log/dansguardian/access.log 

2012.8.30 7:10:30 - 192.168.233.100 http://www.baidu.com/tbr? 

features-Rank:SW&sourceid-navclient-ff&client-navclient-auto-ff&sw- 

ui,co,dm&googleip-0;74.125.31.103;177&iqrn-vKv&querytime-Xt&orig- 

02dr4&swwk-409&ch-87b5deffa&q-info:http$3A$2F$2Fwww.baidu.com 

%2Fsearcht3Fh1%3D%26q%3D%25E6%2584%259B%25E6%2584%259B%26 

Sourceidt3Dnavclient-ff$26rlz*3D1B3GGLL zh-TWTW409TW409$26iet 

3DUTF-8 GET 138 0 1 200 text/html = 

2012.8.30 7:10:33 - 192.168.233.100 http://www.baidu.com/favicon.ico 
GET 83 0 1 404 text/html = 

2012.8.30 7:10:41 - 192.168.233.100 http://www.bandu.com/gen_204?atyp= 

i&ct-&cad-&ved-0CBgQ gU&ei-E6xbTs20JczmmAXlmpSrDA&zx- 

1314630689644 GET 0 0 1 204 text/html = 

2012.8.30 7:10:46 - 192.168.233.100 http://www.bandu.com/url?sa=t&source= 

web&cd=4&ved=0CDgOFjADE&url=http%3A%2F%2Fwww.wo-xxxx.com.cn% 

2Farticle.aspx%3Fcid%3D67%26id%3D2291&ei=E6xbTs2QJczmmAX1lmpSrDA 

&usg-AFQjCNE7MRfirvsesjTmzmD-EYG636M-OQ&sig2-20VbZ4qnHHrv 
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WtLT6SrHAw GET 253 0 1 302 - 


2012.8.30 7:10:46 - 192.168.233.100 http:// www.wo-xxx.com.cn/article.aspx?cid- 
67&id=2291 *DENIED* É[ÉvESSEyErEySSSESESo : 105 (EE.Xc.fER3E) GET 46077 105 Pornography 
(Japanese) , Pornography (Chinese) 1 403 

text/html  - 


加 入 禁止 的 网 址 


Bannedsitelist 是 禁止 网 站 清单 ， 编 辑 bannedsitelist， 加 入 所 要 拦截 的 网 站 。 


[root@localhost /]# vi /etc/dansguardian/lists/bannedsitelist 
# You will need to edit to add and remove categories you want 


Bbs.baidu.com // 阻 挡 此 网 站 


加 入 拦截 网 站 后 ， 必 须 重 新 启动 dansguardian， 否 则 配置 无 法 生效 。 


[root@localhost /]# service dansguardian restart 
Shutting down Web Content Filter (dansguardian) : 
Starting Web Content Filter (dansguardian) : 


再 次 打开 浏览 器 ， 输 入 阻挡 的 网 址 ， 就 会 以 禁止 网 址 的 方式 阻挡 该 网 址 。 


访问 被 拒绝 


访问 该 网 页 : 
http://bbs. bai du. com 
.。 因 以 下 原因 而 被 拒绝 : 
被 禁止 的 网 站 : bbs. bai du. com. 


加 入 禁止 的 关键 词 


Bannedphraselist 除 了 有 拦截 网 站 的 作用 ， 也 可 以 拦截 字符 ， 如 加 入 make love 关 键 词 。 
[rootGlocalhost /]# vi /etc/dansguardian/lists/bannedphraselist 
-中间 省 略 - 


«make love» 


5 
如 果 要 输入 中 文 词语 ， 必 须 修 改 il8n ， 将 LANG="en_ US.UTF-8" 加 上 # 号 并 加 上 
LANG="zh_CN.UTF-8"， 配 置 好 后 重新 启动 则 可 以 使 用 ， 如 果 使 用 pietty 连 接 ， 字 符 编 码 


// 阻 挡 关键 词 


要 选择 zh_CN.UTF-8， 并 将 系统 默认 去 掉 。 
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[root@localhost ~]# vi /etc/sysconfig/ii8n 
#LANG="en_US.UTF-8" 

LANG-" zh CN.UTF-8" 
SYSFONT="latarcyrheb-sunl6" 


加 入 拦截 词语 后 ， 必 须 重 新 启动 dansguardian， 和 否则 配置 无 法 生效 。 


[root@localhost /]# service dansguardian restart 
Shutting down Web Content Filter (dansguardian) : [ OK ] 
Starting Web Content Filter (dansguardian) : [ OK ] 


再 次 打开 浏览 器 ， 输 入 拦截 的 词语 ， 就 会 出 现 对 禁止 词组 的 阻挡 。 


访问 被 拒绝 — 
DARAN: 


wd-maketlove&rsv bp-Ü&rsv spt-S&inputT-2703 


- 因 以 下 原因 而 被 拒绝 : 
发 现 被 禁止 的 短语 。 


禁止 下 载 的 文件 类 型 


Bannedextensionlist 可 以 禁止 下 载 的 文件 类 型 ， 默 认 有 一 些 拦截 的 文件 类 型 ， 如 果 要 取消 


兰 截 ， 只 要 在 前 面 加 上 # 号 即 可 ， 这 里 拦截 exe 文 件 的 下 载 。 


[root@localhost /]# vi /etc/dansguardian/lists/bannedextensionlist 
#Banned extension list 


# File extensions with executable code 


# The following file extensions can contain executable code. 
# This means they can potentially carry a virus to infect your computer. 


.ade # Microsoft Access project extension 
.adp # Microsoft Access project 

.asx # Windows Media Audio / Video 

.bas # Microsoft Visual Basic class module 
.bat # Batch file 

.cab # Windows setup file 

chm # Compiled HTML Help file 

.cmd # Microsoft Windows NT Command script 
-com # Microsoft MS-DOS program 

-cpl 4 Control Panel extension 

crt # Security certificate 
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.dll 4 Windows system file 

.exe # Program 

.hlp # Help file 

.exe // 加 入 对 exe 文件 的 阻挡 


加 入 拦截 文件 类 型 后 ， 必 须 重新 启动 dansguardian， 和 否则 配置 无 法 生效 。 


[root@localhost /]# service dansguardian restart 
Shutting down Web Content Filter (dansguardian) : [ OK ] 
Starting Web Content Filter (dansguardian) : [ OK ] 


再 次 打开 浏览 器 ， 下 载 带 有 exe 扩 展 名 的 文件 ， 就 会 出 现 拦截 信息 。 


访问 被 拒绝 - 


访问 该 网 页 : 
http://the. earth. 1i /"sgtathan/putty/0. 62/x86/putty. exe 
…， 因 以 下 原因 而 被 拒绝 : 
禁止 的 文件 扩展 名 : .exe 


11.8 实例 介绍 一 一 限制 浏览 Facebook 的 时 间 


目前 很 多 公司 或 单位 都 因为 Facebook 的 小 游戏 导致 网 络 流量 过 大 或 没有 工作 效率 , 该 如 何 
限制 员工 只 在 休息 时 间 才 可 以 浏览 Facebook 呢 ?做 法 如 下 所 示 。 


Facebook IP 地 址 查询 


使 用 nslookup 方 式 查 询 Facebook 有 了 哪些 IP 地 址 ， 目 前 有 69.63.189.16、69.63.181.12、 
69.63.189.11. 


默认 服务 器 : ”dns.hinet .net 

Address: 168.95.1.1 

> facebook.com 

服务 器 : dns .hinet .net 

Address: 168.95.1.1 

未 经 授权 的 回答 : 

facebook.com internet address - 69.63.189.16 
facebook.com internet address - 69.63.181.12 
facebook.com internet address - 69.63.189.11 
facebook.com nameserver - ns3.facebook.com 
facebook.com nameserver - ns2.facebook.com 
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facebook .com nameserver = DS1.facebook.com 
facebook .com nameserver = DS4.facebook.com 
facebook .com nameserver = ns5.facebook.com 


Facebook IP 地 址 常常 改变 ， 如 果 未 拦截 请 自行 查询 。 


配置 限制 浏览 Facebook 的 时 间 


编辑 squid 配置 文件 ， 将 阻挡 的 Facebook IP 地 址 加 入 ， 其 中 ACL 部 分 加 入 上 班 时 间 限 制 不 
可 以 连接 Facebook， 不 过 休息 时 间 12:00~13:30 例 外 ， 可 以 连接 Facebook。 


[root@localhost ~]# vi /etc/squid/squid.conf 
acl worktime time MTWHF 8:30-18:00  // 星 期 一 至 五 08:30~18:00 为 上 班 时 间 
acl resttime time 12:00-13:30 // 中 午休 息 时 间 12:00~13:30 
acl deny domain dstdomain .facebook.com // 限 制 facebook 网 站 
acl deny IP dst 69.63.189.16/32 69.63.181. 12/32 69.63.189.11/32 

// 限 制 Facebook IP 地 址 
http access allow deny domain resttime  // 开 放 休 息 时 间 浏 览 Facebook 网 站 
http access allow deny IP resttime  // 开 放 休 息 时 间 可 以 使 用 Facebook IP 
http access deny deny domain worktime // 禁 止 上 班 时 间 浏 览 Facebook 网 站 
http access deny deny IP worktime // 禁 止 上 班 时 间 使 用 Facebook IP 


配置 完成 后 ， 必 须 重新 启动 服务 ， 配 置 值 才 会 生效 。 


[root@localhost ~]# service squid restart 
StoppiudgsSquid- Hae EE [ OK ] 
Starting squid: . [ox] 


Facebook 使 用 时 间 测 试 


拦截 时 间 标 准 以 squid 服 务 器 为 标准 。 上 班 时 间 浏 览 Facebook 网 站 ， 会 出 现下 列 信息 ， 代 
表 阻 挡 成 功 。 


em ERROR 


deam The requested URL could not be retrieved 


SEHRE URL OP RECTED  btox//www facebook com) 
a kA. 


coss control configuration prevents your request em beng alowad at this time. Plsase contact your service provider 4 you fee! 
hs 
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休息 时 间 浏 览 Facebook 网 站 ， 可 以 正常 打开 Facebook 网 站 ， 如 下 图 所 示 。 


[^ 
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DHCP 


动态 主机 配置 服务 器 


DHCP (Dynamic Host Configuration Protocol) 服务 器 可 以 让 同一 网 络 中 的 计算 机 自动 获取 
IP 地 址 。DHCP 服务 器 让 网 络 中 计算 机 的 配置 更 便利 ， 不 用 一 台 一 台地 去 配置 计算 机 的 他 地 
址 ， 对 于 大 型 网 络 环境 而 言 ， 可 以 大 幅 减 少 管理 者 的 负担 。 


12.1 安装 简单 的 DHCP 服务 器 


简单 的 DHCP 服 务 器 可 以 为 同 网 段 内 的 计算 机 自动 分 配 亿 地 址 、 子 网 掩 码 、 网 关 、 域 名 、 
DNS 服务 器 地 址 等 配置 信息 。 


检查 DHCP 服 务 器 软件 


配置 DHCP 服 务 前 ， 应 该 先 检 查 是 否 安装 DHCP 相 关 软件 。 
[root@localhost ~]# rpm -qa|grep dhcp 


dhcp-4.1.1-12.P1.el6 0.4.x86 64 
dhcp-devel-4.1.1-12.P1.el6 0.4.x86 64 


安装 DHCP 服 务 器 软件 


若 没 有 安装 DHCP 服 务 器 软件 ， 则 以 yum 在 线 更 新 的 方式 进行 安装 。 
[root@localhost ~]# yum install -y dhcp dhcp-devel 
Dependencies Resolved 


Installing: 
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dhcp x86 64 12:4.1.1-12.P1.¢e16_ 0.4 updates 887 k 
dhcp-devel x86 64 12:4.1.1-12.P1.el6 0.4 updates 152 k 


Transaction Summary 


Install 2 Package (s) 
Upgrade 0 Package (s) 


Total download size: 1.0 M 
Installed size: 2.4 M 


DHCP 配 置 文件 说 明 


配置 DHCP 服 务 器 时 需要 知道 每 一 个 参数 的 作用 ， 就 好 比 配置 网 卡 参数 时 要 知道 每 个 参数 


的 含义 一 样 ，DHCP 模 板 配置 文件 的 位 置 为 /usr'share/doc/dhcp-*/dhcpd.conf sample。 


如 果 DHCP 版 本 为 4.1.1 版 ，DHCP 模 板 目录 的 位 置 为 /nsr/share/doc/dhcp-4.1.1， 请 根据 版 本 
编辑 对 应 的 模板 配置 文件 。 


参数 说 明 


option routers Jy DHCP 客户 端 设置 默认 网 关 
option subnet-mask Jy DHCP 客户 端 设置 子 网 掩 码 


option nis-domain 为 DHCP 客户 端 设置 NIS 域名 
option domain-name 为 DHCP 客户 端 设 置 网 络 名 称 


为 DHCP 客户 端 设 置 DNS 服务 器 ， 若 有 两 台 则 以 
IPl. IP2 地 址 进行 区 分 

设置 地 址 池 

IP 租约 时 间 ， 默 认为 43200 秒 〈12 小 时 ) 
最 大 租约 时 间 ， 默 认为 86400 E 〈24 小 时 ) 

指定 DHCP 客户 端的 MAC 地址， 

指定 DHCP 客户 端的 MAC 地 址 ， 能 获取 的 IP 地 址 


option domain-name-servers 


option time-offset 


option ntp-servers 
option netbios-name-servers 
range dynamic-bootp 


default-lease-time 


max-lease-time 


hardware ethernet 
fixed-address 


配置 简单 的 DHCP 服务 器 


以 下 介绍 如 何 配置 一 个 简单 的 DHCP 服 务 器 ， 简 单 的 DHCP Server 顾 名 思 义 就 是 说 客户 端 
只 能 获取 也 地 址 等 信息 ， 对 自动 获得 的 人 P 地 址 不 进行 任何 功能 限制 ， 比 如 租约 等 功能 ， 则 所 要 


准备 的 资料 大 致 如 下 表 所 示 。 
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参数 参数 值 

IP 地 址 池 192.168.233.10~192.168.233.99 
TERI (Subnet-mask) 255.255.255.0 

网 关 (Default Gateway) 192.168.233.1 

域名 (Domain Name) jerryit.idv.cn 

名 称 服务 器 地 址 (DNS) 192.168.233.1 及 168.95.1.1 


所 需要 的 资料 准备 好 后 ， 就 可 以 配置 DHCP 服务 器 ， 开 始 编辑 DHCP 配 置 文件 了 。 


[root@localhost ~]# vi /etc/dhcp/dhcpd.conf 

# 

# DHCP Server Configuration file. 

# see /usr/share/doc/dhcp*/dhcpd.conf.sample 
# see 'man 5 dhcpd.conf' 

# 

# create new 

# specify domain name 

subnet 192.168.233.0 netmask 255.255.255.0 { 


option routers 192.168.233.1; 

option subnet-mask 255.255.255.0; 

option domain-name "jerryit.idv.cn "; 
option domain-name-servers 168.95.1.1,192.168.233.1; 


range 192.168.233.10 192.168.233.99; 


启动 DHCP 服务 器 
- 切 配置 完成 后 ， 就 可 以 启动 DHCP 服 务 器 服务 了 ， 若 是 长 期 提供 服务 ， 建 议 设 为 系统 默 
认 启 动 ， 以 避免 重新 启动 服务 器 后 忘记 启动 ， 导 致 客户 端 无 法 获取 下 地 址 。 


[root@localhost ~]# service dhcpd start 
Starting dhcpd: [ OK ] 
[root@localhost ~]# chkconfig dhcpd on 


客户 端 测试 


使 用 Windows XP 操 作 系统 测试 ， 在 命令 控制 台中 输入 【ipconfig/renew】， 向 DHCP Server 
索取 IP 地 址 ， 下 面 的 信息 代表 成 功 索 取 到 IP 地 址 。 


Windows IP Configuration 


Host Name ...... o.ae e e è user-3d0ci57d5a 
Paqhizva DoS Sutfilx s A hice ES 

Node PyDe a 2: pr a een ans epee : Unknown 

IP Routing Enabled. . . . . . . a : No 

WINS Proxy Enabled. . . . . . . . : No 
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DNS Suffix Search List. . . . . . : jerryit.idv.cn 


Ethernet adapter 本 地 连接 2: 


Connection-specific DNS Suffix . : jerryit.idv.cn 
Description . . . . . . . . . . . : AMD PCNET Family PCI Ethernet Adapter 
Physical Address. . . . . . . . . : 00-0C-29-E6-79-3A 
Dhcp Enabled. . < < =s so e «~ v 2 Yes 
Autoconfiguration Enabled . . . . : Yes 
IP Address. . . . . . . . . . . . : 192.168.233.11 
Subnet Mask . . . . . . . . . . . : 255.255.255.0 
Default Gateway . . . . . e» . . 3 192.168.233.1 
DHCP Server . . . . . . . - . - . : 192.168.233.195 
// 由 此 DHCP Server 取得 IP 地 址 

DNS Servers . . . . . . . +e eee : 168.95.1.1 

192.168.233.1 
Lease Obtained. . . . . . . . . . : 2012/68 H 31H EF 03:23:14 
Lease Expires . . . . . . . . . . : 20125£8 BH 31H 下 午 03:23:14 


确认 客户 端 获取 的 下 地 址 、 子 网 掩 码 、 网 关 及 DNS 都 符合 所 配置 的 信息 ， 则 代表 DHCP 服 
务 器 配置 成 功 ， 租 约 期 默认 是 12 小 时 。 


12.2 配置 DHCP Server 租 约 时 间 


配置 DHCP 服 务 器 租约 时 间 是 为 了 有 效 管 理 DHCP 服 务 器 上 的 耳 地 址 池 ， 若 不 配置 卫 地 址 
的 租约 时 间 ， 则 了 王 地 址 总 有 一 天 会 不 够 用 ， 到 时 就 需要 调整 卫 地 址 池 的 范围 了 ， 所 以 客户 端 获 
取 后 很 久 没有 使 用 的 耳 地 址 ， 租 约 时 间 一 到 ，DHCP 服 务 器 就 会 自动 收回 。 

租约 时 间 分 为 默认 租约 时 间 (default-lease-time) 与 最 大 租约 时 间 (max-lease-time)， 这 两 
种 租约 时 间 的 差别 是 当 默 认 租 约 时 间 大 于 最 大 租约 时 间 时 , 就 以 最 大 租约 时 间 为 主 。 一 般配 置 
租约 时 间 时 只 会 配置 其 中 一 项 ， 通 常 为 默认 租约 时 间 。 


配置 DHCP 服务 器 


以 下 介绍 当 同 时 配置 默认 租约 时 间 与 最 大 租约 时 间 后 ,是否 以 最 大 租约 时 间 为 主 。 配置 时 
间 信 息 如 下 表 所 示 。 
租约 时 间 类 别 租约 时 间 


默认 租约 时 间 default-lease-time 
最 大 租约 时 间 max-lease-time 21600 秒 (6 小 时 ) 
编辑 DHCP 服 务 器 配置 文件 ， 在 原 有 的 DHCP 服 务 器 配置 文件 内 增加 默认 租约 时 间 及 最 大 


租约 时 间 ， 然 后 保存 退出 。 


[root@localhost ~]# vi /etc/dhcp/dhcpd.conf 
# 
# DHCP Server Configuration file. 
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# see /usr/share/doc/dhcp*/dhcpd.conf.sample 
# see 'man 5 dhcpd.conf' 
# 


# create new 
# specify domain name 
subnet 192.168.233.0 netmask 255.255.255.0 { 


option routers 192.168.233.1; 

option subnet-mask 255:255:255:07 

option domain-name "jerryit.idv.cn"; 

option domain-name-servers 168.95.1.1,192.168.233.1; 

range 192.168.233.10 192.168.233.99; 

default-lease-time 43200; // 默 认 租 约 时 间 
max-lease-time 21600; // 最 大 租约 时 间 


配置 完成 后 ， 必 须 重 新 启动 DHCP Server 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service dhcpd restart 
Shutting down dhcpd: [i (eis d) 
Starting dhcpd: [OX T 


客户 端 测试 


使 用 Windows XP 操 作 系统 测试 ， 在 命令 控制 台中 输入 【ipconfig/renew】， 计 算 机 重新 获取 
卫 地 址 ， 取 得 耻 地 址 后 ， 输 入 【ipconfig/all】 检 查 租约 时 间 ， 如 下 所 示 ， 起 始 租约 时 间 到 结束 
租约 时 间 为 6 小 时 ， 因 为 所 配置 的 默认 租约 时 间 大 于 最 大 租约 时 间 ， 所 以 DHCP 服 务 以 最 大 租 
约 时 间 为 主 。 


Windows IP Configuration 


Donk: Name a ge ecc Ms . : user-3d0c157d5a 
Primary Dns Suffix . . “es E 

Node" Type . o 2 a 295 es ere Uk 

IP Routing Enabled. . . . . . . . : No 

WINS Proxy Enabled. . . . . . . . : No 

DNS Suffix Search List. . . . . . : jerryit.idv.cn 


Ethernet adapter 本 地 连接 2: 


Connection-specific DNS Suffix  . : jerryit.idv.cn 
eucrintion$ A so Gb a Ae Be . : AMD PCNET Family PCI Ethernet Adapter #2 
Physical Address. . . . . . . . . : 00-0C-29-E6-79-44 
Dhcp abled: m o e oe ea n . : Yes 
Autoconfiguration Enabled . . . . : Yes 
了 RE > $ 192.168.233.50 
Subiebs Macks o seen ae e O ODLO 
Default Gateway . . ...... et pi yh 
了 RCR Bervet 3 o ze >) el ee > > 192.168.233.195 
DNS: Servere em aoe a a a e SO AGB OSLA 
192.168.233.1 
Lease Obtained. . . . . . . . . . : 20124£9 H 1H .E/F 12:30:38 
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Lease Expires . . . - 。 。 。 . . . :2012 年 9 月 1 日 EF 06:30:38 
// 两 者 差距 6 小 时 


12.3 配置 保留 IP 地 址 给 特定 计算 机 


DHCP 服 务 器 配置 下 地 址 池 后 ， 不 管 哪 一 台 计 算 机 请 求 获取 下地 址 ，DHCP 服 务 器 都 会 依 


次 把 下 地 址 分 配给 每 一 台 计 算 机 ， 如 果 网 段 内 有 固定 服务 的 主机 ， 那 就 必须 给 予 


固定 的 下 地 


址 ， 这 时 候 若 不 将 IP 地 址 保留 下 来 ， 则 会 发 生 两 台 主 机 IP 地 址 冲突 的 情况 ， 那 两 台 主 机 则 无 法 
连接 ， 所 以 必须 要 配置 保留 也 地 址 ， 下 面 介绍 如 何 将 保留 也 地址 分 配给 特定 的 计算 机 ， 首 先 要 
确定 该 计算 机 的 网 卡 MAC 地 址 ， 然 后 把 网 卡 MAC 地 址 和 保留 的 下 地 址 绑 定 在 一 起 ， 由 于 网 卡 
的 MAC 地 址 是 独一无二 的 ， 所 以 将 它 当 作 标 识 符 ， 就 不 会 发 生 IP 地 址 重复 的 问题 了 。 


配置 保留 IP 地 址 


此 例 将 一 个 IP 地 址 保留 给 特定 的 计算 机 ， 所 需 数据 如 下 表 所 示 。 
保留 的 IP 地 址 192.168.233.50 


计算 机 网 卡 MAC 地 址 
编辑 DHCP 配 置 文件 ， 在 配置 项 中 添加 保留 耳 地 址 及 计算 机 网 卡 MAC 地 址 。 


[root@localhost ~]# vi /etc/dhcp/dhcpd.conf 

# 

# DHCP Server Configuration file. 

# see /usr/share/doc/dhcp*/dhcpd.conf.sample 
# see 'man 5 dhcpd.conf' 

# 

# create new 

# specify domain name 

subnet 192.168.233.0 netmask 255.255.255.0 { 


option routers 192.168.233.1; 

option subnet-mask 255.255.255.0; 

option domain-name "jerryit.idv.cn"; 

option domain-name-servers 168.95.1.1,192.168.233.1; 

range 192.168.233.10 192.168.233.99; 

host ns { 
hardware ethernet 00:0C:29:E6:79:44; // 指 定 网 卡 MAC 
fixed-address 192.168.233.50; // 保 留 的 IP 地 址 

} 


配置 完成 后 ， 必 须 重新 启动 DHCP 服 务 器 服务 ， 配 置 才 会 生效 。 


[rootelocalhost ~]# service dhcpd restart 
Shutting down dhcpd: [ OK ] 
Starting dhcpd: Te OR a), 
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客户 端 测试 


在 特定 计算 机 的 命令 控制 全 中， 输入 【ipconfig/renew】， 再 次 向 DHCP 服务 器 重新 获取 人 P 
地 址 ， 获 取 了 地 址 后 ， 输 入 【ipconfig/all]， 检 查 是 否 是 所 配置 的 保留 卫 地 址 。 


Windows IP Configuration 


EGE NEWS Gog oe Ge 6 a 6 6 S 9 Meier Gly) 
Primary Dos Suffix «è. s: = ws 

Node Type. or ee ee eee 3 Unknown 

IP Routing Enabled. . . . . . . . : No 

WINS Proxy Enabled. . . . . . . 。 : No 

DNS Suffix Search List. . . . . . : jerryit.idv.cn 


Ethernet adapter 本 地 连接 2: 
Connection-specific DNS Suffix . : jerryit.idv.cn 


Description . . . . . . . . . . . : AMD PCNET Family PCI Ethernet Adapter #2 
Physical Address. . . . . . . . . : 00-0C-29-E6-79-44 
// 指 定 的 网 卡 MAC 地 址 
Dhep Enabled. < > s = o a os m . : Yes 
Autoconfiguration Enabled . . . . : Yes 
Hoes c 1902.1680.233.50 
// 所 保留 的 1p 地 址 
SubneG (Mack e eT = Bere be Ebsco) 
Default Gateway = s . . . . . . . : 192.168.233.1 
DHCP- GETVER > e a s anaon E a o ree LOG eas 105 
DNS: Sarver A o an eu mu a a 692952 了 2 二 
192.168.233.1 
Lease Obtained... . . . . . . £: 20128A 31 H EF 11:53:31 
Lease Expires ......... . : 2012 年 9 月 1 日 上 午 11:53:31 
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SSH 是 Secure Shell 的 缩写 ， 由 IETF 的 网 络 工作 小 组 (Network Working Group) 所 制定 ， 
SSH 是 建立 在 应 用 层 和 传输 层 上 的 安全 协议 。 

传统 的 网 络 服 务 程序 ， 如 FTP、POP 和 Telnet 本 身 其 实 都 是 不 安全 的 ， 因 为 它们 在 网 络 上 
使 用 明文 传送 数据 ， 数 据 很 容易 被 截获 。 而 SSH 是 目前 比较 可 靠 的 协议 ， 专 为 远程 登录 会 话 和 
其 他 网 络 服务 提供 安全 性 。 利 用 SSH 协 议 可 以 有 效 防 止 远程 管理 过 程 中 的 信息 泄漏 问题 。 通 过 
SSH 可 以 对 所 有 传输 的 数据 进行 加 密 ， 也 能 够 防止 DNS 欺骗 和 耳 地 址 欺骗 。 

SSH 还 有 一 个 额外 的 优点 ， 即 传输 的 数据 是 经 过 压缩 的 ， 所 以 可 以 加 快 传输 的 速度 。SSH 
有 很 多 功能 ， 它 既 可 以 代替 Telnet， 也 可 提供 一 个 安全 的 通道 。 


所 以 无 需 安装 。 


13.1 允许 特定 用 户 登 录 


CentOS 系 统 服务 主机 内 已 默认 创建 了 多 个 用 户 ， 如 果 每 个 用 户 都 可 以 利用 SSH 登 录 ， 那 
就 降低 了 服务 器 的 安全 性 ,虽然 不 是 每 个 用 户 都 拥有 管理 员 权限 , 但 是 这 样 做 还 是 会 增加 服务 
器 的 风险 性 。 为 了 降低 服务 器 风险 ， 必 须 限 制 哪些 用 户 可 以 利用 SSH 登 录 。 


配置 特定 用 户 登录 


若 要 配置 特定 用 户 才 可 以 利用 SSH 登 录 服 务 器 ， 则 需要 在 SSH 配 置 文件 的 最 后 一 行 增加 允 
许 登 录 的 用 户 信息 。 下 面 的 示例 中 配置 账号 tom 可 以 登录 ， 其 他 账号 都 不 可 以 利用 SSH 登 录 服 
务 器 ， 配 置 后 保存 退出 ， 若 允许 多 个 用 户 登录 ， 则 在 此 行 后 面 继 续 添加 其 他 用 户 信 息 。 


[root@localhost ~]# vi /etc/ssh/sshd config 
AllowUsers tom // 允 许 tom 用 户 可 以 登录 


配置 允许 特定 用 户 登录 后 ， 必 须 重 新 启动 ssh 服 务 ， 配 置 才 会 生效 。 
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mm 
[root@localhost ~]# service sshd restart 

Stopping sshd: [Ee s f 
Starting sshd: [| (ee J) 


特定 用 户 登录 测试 


以 tom 用 户 登录 测试 ， 如 果 可 以 正常 登录 ， 其 他 用 户 无 法 登录 ， 说 明 配 置 成 功 。 特 定 用 户 
登录 后 ， 再 用 su 命令 切换 到 root 用 户 操 作 ， 这 样 风险 性 也 比较 低 。 
login as: tom 
tom@192.168.233.200's password: ********* 
[tom@localhost ~]$ su root 
Password: 
[root@localhost tom] # 


使 用 没有 配置 的 jerry 用 户 登 录 ， 输 入 密码 后 ， 显 示警 告 信息 Access denied 〈 拒 绝 登 录 )， 
连续 输入 5 次 密码 后 就 会 关闭 连接 。 
login as: jerry 
jerry@192.168.233.200's password: ***xxx** 


Access denied 
jerry@192.168.233.200's password: 


CentOS 系 统 中 root 用 户 管理 权限 最 大 ， 假 如 root 用 户 的 密码 被 别人 知道 ， 再 利用 系统 默认 
开启 的 SSH 服 务 登录 系统 ， 系 统 就 无 安全 性 可 言 ， 所 以 必须 设置 SSH 服 务 中 禁止 以 root 用 户 登 
录 ， 这 样 要 使 用 root 用 户 就 必须 在 本 机 登录 。 


13.2 禁止 root 用 户 登 录 


在 CentOS 操 作 系 统 中 ， 管 理 员 root 用 户 权限 就 相当 于 Windows 操 作 系统 的 Administrator， 
因为 SSH 服 务 默认 可 以 使 用 root 用 户 登 录 ， 提 高 了 系统 的 风险 性 ， 所 以 建议 禁止 root 用 户 利用 
SSH 服 务 登录 。 如 果 普 通用 户 要 对 系统 进行 操作 ， 可 以 利用 su 命令 切换 到 root 账 号 ， 这 样 可 以 
以 root 用 户 权 限 进行 操作 ， 虽 然 此 做 法 可 以 降低 系统 风险 性 ， 但 是 其 他 用 户 也 知道 了 root 用 户 
的 密码 ， 系 统 就 等 于 公开 了 ， 如 果 只 知道 普通 用 户 的 密码 ， 就 算 他 登录 后 ， 还 是 需要 有 更 高 的 
权限 才 可 以 修改 ， 虽 然 不 能 说 很 安全 ， 但 是 多 一 套 防 御 总 是 好 的 。 


配置 root 用 户 禁止 登录 


SSH 服 务 默 认可 以 让 root 用 户 登 录 ， 如 果 要 禁止 root 用 户 登 录 ， 必 须 修 改 SSH 配 置 文件 ， 把 
了 PermitRootLogin 的 yes 改 成 no， 将 # 号 删除 ， 修 改 完成 后 保存 退出 。 


[root@localhost ~]# vi /etc/ssh/sshd config 
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PermitRootLogin no // 默 认为 Yes， 禁 止 则 设 为 no， 删除 # 号 


修改 SSH 配 置 文件 后 ， 必 须 重 新 启动 SSH 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service sshd restart 
Stopping sshd: [OK T 
Starting sshd: [OK 


禁止 root 用 户 登录 测试 


开启 PieTTY， 输 入 登录 用 户 名 root， 会 出 现 警告 信息 Access denied (拒绝 访问 ) 。 
login as: root 
root@192.168.233.200's password: ****exex* 


Access denied 
root@192.168.233.200's password: 


13.3 配置 指定 网 卡 接收 SSH 客 户 端 连接 


若 要 指定 网 卡 接收 SSH 连 接 ， 就 需要 用 户 知道 SSH 服 务 监听 哪 块 网 卡 ， 如 etho、eth1， 只 
有 知道 了 网 卡 配 置 的 人 P 地 址 才 可 以 登录 ， 这 样 也 可 以 降低 服务 器 的 风险 性 ， 还 可 以 将 SSH 服 务 
流量 集中 在 同一 块 网 卡 上 ， 避 免 传输 数据 时 影响 服务 器 的 其 他 服务 ， 缺 点 是 网 卡 发 生硬 件 故 障 
时 ， 就 必须 到 服务 器 本 机 重新 配置 指定 网 卡 。 


配置 指定 网 卡 接收 SSH 客 户 端 连接 


配置 指定 网 卡 接收 SSH 客 户 端 连 接 ， 其 实 就 是 在 那 块 指定 的 网 卡 上 监听 SSH 服 务 ， 利 用 网 
卡 的 IP 地 址 进行 配置 ， 下 面 的 示例 中 利用 两 块 网 卡 作为 示范 。 


ethO 网 卡 IP 地 址 192.168.233.200 
eth1 网 卡 IP 地 址 192.168.233.201 
首先 检查 服务 器 他 地 址 配置 。 


[root@localhost ~]# ifconfig 
eth0 Link encap:Ethernet HWaddr 00:0C:29:91:5F:2E 
inet addr:192.168.233.200 Bcast:192.168.233.255 Mask:255.255.255.0 
inet6 addr: fe80::20c:29ff:fe91:5f2e/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:207 errors:0 dropped:0 overruns:0 frame:0 
TX packets:112 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:18814 (18.3 KiB) TX bytes:9473 (9.2 KiB) 
ethl Link encap:Ethernet HWaddr 00:0C:29:91:5F:38 
inet addr:192.168.233.201 Bcast:192.168.233.255 Mask:255.255.255.0 
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inet6 addr: fe80::20c:29ff:fe91:5f38/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:27 errors:0 dropped:0 overruns:0 frame:0 
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:2609 (2.5 KiB) TX bytes:636 (636.0 b) 


编辑 SSH 配 置 文件 ， 参 数 ListenAddress 默 认 不 启用 ， 配 置 可 以 接收 客户 端 连 接 SSH 服 务 器 
的 下地 址 ， 必 须 将 ListenAddress 前 面 的 # 号 删除 ， 再 将 0.0.0.0 改 成 指定 的 耳 地 址 ， 这 里 允许 下 地 
址 为 192.168.233.200 的 ech0 网 卡 接收 SSH 客 户 端 连接 ， 修 改 完 后 保存 退出 。 


[root@localhost ~]# vi /etc/ssh/sshd config 
ListenAddress 192.168.233.200 // 默 认为 0.0.0.0， 配 置 指定 的 TP 地 址 


修改 SSH 配 置 文件 后 ， 必 须 重 新 启动 SSH 服 务 ， 这 样 配置 才 会 生效 。 


[root@localhost ~]# service sshd restart 
Stopping sshd: [ OK ] 
Starting sshd: [ OK ] 


指定 网 卡 接收 SSH 客 户 端 连接 测试 


使 用 PieTTY 登 录 测 试 ， 配 置 为 192.168.233.200 的 网 卡 eth0 可 以 登录 。 


[I's Easy To Create Your Connection, | 
px Host Name (or IP address) 
192.168.233.200 JE 


© Tehet (885) f SSH 


[E menta T TF purty mode F masua | 
PioTTY Information- 
Direct cornect to: 
E 192.158.233.200 


era] [æ] cmm | 


FRM iA P -Rethl, AAi% -FA IP Hh hE Wy 192.168.233.201, RIN A H IM Network 
error: Connection refused， 这 样 代表 配置 成 功 。 


13.4 配置 输入 密码 时 间 过 长 即 断 开 连 接 


配置 输入 密码 时 间 过 长 即 断 开 连 接 ， 虽 然 没 有 多 大 的 意义 ， 只 是 为 了 SSH 服 务 器 登录 时 ， 
时 间 过 长 不 输入 账号 密码 即 断 开 连接 ， 可 以 减少 不 必要 的 连接 。 
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配置 等 待 时 间 

SSH 服 务 器 默认 输入 密码 等 待 时 间 过 长 即 断 开 连 接 的 时 间 为 2 分 钟 ， 可 以 自行 修改 等 待 时 
间 ， 例 如 等 待 30 秒 即 断 开 连 接 ， 编 辑 SSH 配 置 文件 ， 将 等 待 时 间 改 成 30s， 并 将 # 号 删除 。 


[root@localhost ~]# vi /etc/ssh/sshd config 
LoginGraceTime 30s // 配 置 等 待 时 间 


修改 配置 文件 后 ， 必 须 重 新 启动 SSH 服 务 ， 这 样 配置 才 会 生效 。 


[root@localhost ~]# service sshd restart 
Stopping sshd: [L fes. 1] 
Starting sshd: [ OK ] 


测试 等 待 时 间 


打开 PieTTY 输 入 IP 地 址 后 , 等 待 30 秒 不 做 任何 动作 就 会 出 现 错误 信息 Serverunexpectedly 
closed network connection， 然 后 断 开 SSH 服 务 连接 。 
Peart rast ree 


[X] Server unexpectedly closed network connection 


13.5 配置 空闲 时 间 关 闭 连接 


使 用 SSH 连 接 一 段 时 间 后， 空闲 时 间 太 久 没 有 任何 动作 或 者 忘记 关闭 PieTTY 软 件 ，SSH 
服务 器 就 会 将 连接 关闭 ， 这 样 可 以 节省 主机 资源 。 


配置 空闲 时 间 


在 SSH 配 置 文件 中 ，ClientAliveInterval 参 数 代表 关闭 连接 的 秒 数 ，ClientAliveCountMax 参 
数 代表 人 允许 超时 的 次 数 。 这 里 将 ClientAliveInterval 参 数 设 为 10 秒 ， 将 ClientAliveCountMax 人 参数 
设 成 0。 
[root@localhost /]# vi /etc/ssh/sshd config 


ClientAliveInterval 10 //RUA0 不 启用 ， 启 用 要 删除 # 号 配置 秒 数 
ClientAliveCountMax 0 // 默 认为 3 不 启用 ， 启 用 要 删除 # 配 置 次 数 


修改 过 配置 文件 后 ， 必 须 重 新 启动 SSH 服 务 ， 这 样 配置 才 会 生效 。 


[rootelocalhost ~]# service sshd restart 
Stopping sshd: [ox] 
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Starting sshd: [| exse 1! 


空闲 时 间 关 闭 连 接 测试 


空闲 时 间 的 配置 值 ， 需 要 在 新 打开 的 PieTTY 连 接 中 生效 ， 如 果 是 以 前 打开 的 PieTTY 连 接 
就 不 会 关闭 。 打 开 新 的 PieTTY 登 录 后 ， 不 要 做 任何 动作 ，10 秒 过 后 就 会 由 于 空闲 时 间 过 长 而 


e Server unexpectedy closed network connection 


目前 测试 过 的 环境 ， 有 些 版 本 配置 了 ClientAliveCountMax 的 次 数 ， 那 么 配置 就 不 会 生效 ， 
要 将 之 设 成 0, 就 可 以 正常 使 用 有 些 参考 文档 说 明 SSH 服 务 空 闲 关 闭 是 由 ClientAliveCountMax 
配置 的 ， 不 过 这 一 行 是 次 数 而 不 是 秒 数 ， 有 些 参考 文档 说 配置 秒 数 即 可 ， 这 是 比较 令 人 疑惑 的 
地 方 。 还 有 一 些 参 考 文档 说 明 配 置 ClientAliveInterval 秒 数 就 会 生效 ， 不 过 测试 过 所 有 做 法 ， 目 
前 只 有 上 述 配置 是 成 功 的 ， 或 许 版 本 不 一 样 会 有 所 差异 。 
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Telnet 是 Intermet 远 程 登录 服务 的 标准 协议 ,此 协议 的 历史 非常 悠久 ,应 用 最 广泛 的 就 是 BBS 
服务 ， 传 统 的 Telnet 连 接 对 话 所 传输 的 数据 没有 加 密 ， 所 有 输入 及 显示 的 数据 ， 包 括 最 重要 的 
用 户 名 及 密码 都 是 明文 显示 ， 这 样 会 增加 服务 器 的 风险 性 ， 因 此 近 几 年 来 有 许多 操作 系统 默认 
不 安装 此 协议 ， 而 改 用 更 为 安全 的 SSH 服 务 。Microsoft Windows 从 Vista 开 始 ， 不 再 安装 Telnet 
客户 端 ， 需 要 手动 安装 。 而 之 前 的 版 本 ， 只 要 计算 机 启动 了 TCP/IP 服 务 ，Telnet 就 可 以 使 用 。 


14.1 安装 Telnet 服务 器 


下 面 介绍 如 何 配置 简单 的 Telnet 服 务 器 。 


检查 Telnet 软 件 


检查 是 否 已 安装 Telnet 服务 器 软件 ， 默 认 不 安装 。 配 置 Telnet Server 所 需 的 软件 为 xinetd 及 


telnet-server: 


[root@localhost /]# rpm -qa | grep xinetd 
xinetd-2.3.14-29.e16.x86 64 

[root@localhost /]# rpm -qa | grep telnet-server 
telnet-server-0.17-46.e16.x86 64 


安装 Telnet 服务 


如 果 要 安装 Telnet Serves 使 用 yum 在 线 更 新 方式 安装 既 方 便 又 简单 . 若 只 使 用 telnet client 
工具 ， 即 可 输入 【yum install -y telnet-server ]. 


[root@localhost ~]# yum install -y telnet-server 
Dependenci 


Resolved 
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Package Arch Version Repository Size 
Installing: 

telnet-server x86 64 1:0.17-46.e16 base 36 k 
Installing for dependencies: 

xinetd x86 64 2:2.3.14-29.e16 base 120 k 


Transaction Summary 


Install 2 Package (s) 
Upgrade 0 Package (s) 
Total download size: 157 k 


配置 Telnet 服 务 


在 启动 Telnet Server 服 务 前 ， 必 须 修改 Telnet 配 置 文件 ， 因 为 disable 参 数 默 认为 yes， 表 示 
Telnet Server 禁 止 连接 ， 所 以 必须 修改 为 no。 
[root@localhost /]# vi /etc/xinetd.d/telnet 


# default: on 
# description: The telnet server serves telnet sessions; it uses \ 


# unencrypted username/password pairs for authentication. 
service telnet 
{ 
flags = REUSE 
socket_type = stream 
wait = no 
user = root 
server = /usr/sbin/in.telnetd 
log_on_failure = USERID 
disable = no ”// 默 认为 yes 禁止 连接 ， 必 须 设 为 no 才 可 以 允许 连接 


启动 Telnet 服务 


配置 完成 后 ， 就 可 以 启动 Telnet 服 务 了 ， 若 有 需要 应 将 xinetd 服 务 设 为 默认 启动 。 


[root@localhost ~]# service xinetd start 
Starting xinetd: [ OK ] 
[root@localhost ~]# chkconfig xinetd on 


A 


Telnet Server 服 务 依 赖 于 xinetd 超 级 服务 。 


检查 Telnet Server 端 口 是 否 监听 。 


[root@localhost /]# netstat -tunlp | grep xinetd 
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tcp 0 jo des ABB LISTEN 4290/xinetd 


配置 防火 墙 


启动 Telnet 服务 后 ， 必 须 在 防火 墙 配置 文件 中 开启 23 端 口 ， 这 样 Telnet 客 户 端 才 可 以 连接 


[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT 
//Telnet Server 端口 

-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


修改 防火 墙 后 ， 必 须 重新 启动 防火 墙 服务 ， 和 否则 配置 无 法 生效 。 


[root@localhost /]# service iptables restart 


iptables: Flushing firewall rules: [ OK ] 
iptables: Setting chains to policy ACCEPT: filter [OKT 
iptables: Unloading modules: [ OK ] 
iptables: Applying firewall rules: C 0 | 


测试 连接 Telnet 服 务 器 


Root 用 户 默认 不 能 登录 Telnet Server， 必 须 用 其 他 用 户 登录 ， 使 用 su 命令 切换 到 root 用 户 ， 
建立 测试 用 户 jerry， 使 用 Windows 操 作 系统 的 命令 控制 台 测试 ， 出 现 信息 提示 后 ， 输 入 用 户 名 
和 密码 ， 若 显示 如 下 信息 代表 可 以 正常 登录 。 


C:\Users\jerry>telnet 192.168.233.200 

CentOS Linux release 6.0 (Final) 

Kernel 2.6.32-71.e16.x86 64 on an x86 64 

login: jerry 

Password: 

Last login: Mon Aug 22 10:13:01 from 192.168.233.100 
[jerry@localhost -]$ 
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14.2 修改 Telnet 服务 端口 


Telnet 服务 既然 被 视 为 是 不 安全 的 服务 ， 就 要 想 办 法 提高 其 安全 性 ， 除 了 做 一 些 限制 外 
最 常见 的 方法 就 是 修改 端口 。 


修改 Telnet 服务 端口 


编辑 services 配 置 文件 ， 默 认 Telnet Server 端 口 为 23， 这 里 将 端口 修改 为 2323， 然 后 保存 


[root@localhost /]# vi /etc/services 
telnet 2323/tcp // 默 认为 TCP 23 
telnet 2323/udp // 默 认为 UDP 23 


修改 Telnet 服务 端口 后 ， 必 须 重 新 启动 xinetd 服 务 ， 配 置 才 会 生效 。 


[root@localhost /]# service xinetd restart 
Stopping xinetd: [ OK ] 
Starting xinetd: [ or 4 


检查 修改 后 的 Telnet 服务 端口 是 否 为 2323， 信 息 显 示 端 口 为 2323， 代 表 修 改 成 功 。 


[root@localhost /]# netstat -tunlp | grep xinetd 
tcp 0 () SERRE He ase LISTEN 4534/xinetd 


配置 防火 墙 


修改 Telnet 服务 端口 后 ， 也 必须 修改 防火 墙 配置 的 连接 端口 ， 否 则 客户 端 无 法 连接 。 


[root@localhost /]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 2323 -j ACCEPT 
// 修 改 后 的 telnet 端口 

-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


防火 墙 修改 完毕 后 ， 必 须 


启动 防火 墙 ， 配 置 才 会 生效 。 
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[root@localhost /]# service iptables restart 


iptables: Flushing firewall rules: [OK J 
iptables: Setting chains to policy ACCEPT: filter L O J 
iptables: Unloading modules: [ OK ] 
iptables: Applying firewall rules: [ OK ] 


测试 Telnet 服务 新 端口 


使 用 Windows 操 作 系 统 测试 连接 ， 端 口 使 用 2323， 若 输入 用 户 名 和 密码 可 以 登录 ， 则 代表 
Telnet Server 修 改 端口 成 功 。 
C:\Users\jerry>telnet 192.168.233.200 2323 
CentOS Linux release 6.0 (Final) 
Kernel 2.6.32-71.e16.x86 64 on an x86 64 
login: jerry 
Password: 
Last login: Mon Aug 22 10:19:58 from 192.168.233.100 
[jerryelocalhost ~]$ 


14.3 配置 连接 IP 地 址 及 连接 时 间 


Telnet Server 如 果 要 管理 Telnet Client 连 接 时 间 ， 就 要 使 用 access_times 参 数 限制 用 户 连接 时 
间 ， 并 且 一 定 要 配合 限制 的 主机 条 件 ， 如 限制 下 地 址 或 网 段 ， 这 样 比较 安全 。 
这 里 限制 下 地 址 为 192.168.233.100， 该 了 地 址 只 能 在 每 天 10:00~12:00 及 20:00~23:45 可 以 登 
录 Telnet Server， 其 他 时 间 禁 止 连接 。 假 设 Telnet Server 主 机 开放 到 23:45， 但 是 客户 端 时 间 只 到 
23:40， 那 就 算 Telnet Server 主 机 时 间 已 到 ， 客 户 端 还 是 可 以 登录 的 。 
[root@localhost /]# vi /etc/xinetd.d/telnet 


# default: on 
# description: The telnet server serves telnet sessions; it uses \ 


# unencrypted username/password pairs for authentication. 
service telnet 
{ 
flags = REUSE 
Socket type - stream 
wait - no 
user - root 
server = /usr/sbin/in.telnetd 
log on failure += USERID 
disable = no 
only from = 192.168.233.100 // 人 允许 的 IP 地 址 
access times - 10:00-12:00 20:00-23:45 // 人 允许 的 连接 时 间 
} 


Telnet Server 配 置 完成 后 保存 退出 ， 重 新 启动 xinetd 服 务 ， 配 置 才 会 生效 。 
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lm- 


[root@localhost /]# service xinetd restart 
Stopping xinetd: Lt or 1 
Starting xinetd: [ OK ] 


14.4 配置 Telnet Server 连 接 数 


Telnet Server 配 置 连接 数 ， 就 是 配置 服务 器 允许 几 个 连接 ， 服 务 器 上 的 服务 连接 数 过 高 ， 
会 影响 服务 器 的 效率 ， 所 以 要 限制 连接 数 ， 这 样 不 会 浪费 资源 ， 不 然 很 多 连接 都 挂 在 服务 器 上 
没有 断 线 。 如 果 服 务 器 没有 自动 断 线 的 限制 ， 就 会 影响 主机 的 效率 。 

编辑 Telnet Server 配 置 文件 将 instances 参 数 设 为 2, 默认 没有 这 一 行 , 需要 自行 添加 。Telnet 
Server 大 约 在 两 个 连接 后 ， 就 会 无 法 登录 ， 有 时 到 3 个 才 会 禁止 连接 ， 这 一 点 控制 得 不 是 很 准 
确 。 

[root@localhost /]# vi /etc/xinetd.d/telnet 


# default: on 
# description: The telnet server serves telnet sessions; it uses V 


# unencrypted username/password pairs for authentication. 
service telnet 
{ 

flags = REUSE 

socket_type = stream 

wait = no 

user = root 

server = /usr/sbin/in.telnetd 

log_on_failure += USERID 

disable = no 

instances = 2 // 默 认 没有 这 一 行 ， 自 行 添加 


Telnet Server 修 改 配置 后 ， 必 须 重 新 启动 xinetd 服 务 ， 配 置 才 会 生效 。 


[root@localhost /]# service xinetd restart 
Stopping xinetd: [ OK ] 
Starting xinetd: E ORRI 


测试 连接 数 


使 用 Windows 系 统 的 命令 控制 台 测试 连接 ， 连 续 登 录 ， 第 三 次 登录 就 不 会 出 现 输入 用 户 名 
和 密码 的 界面 。 
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14.5 配置 特定 IP 地 址 或 网 段 登 录 


配置 特定 人 地 址 可 以 登录 Telnet Server， 这 样 不 仅 可 以 增加 Telnet Server 的 安全 性 ， 也 可 以 
知道 有 哪些 客户 端 登录 到 Telnet Server 上 ， 以 便 对 Telnet Client 进 行 有 效 地 连接 管理 。 


配置 单一 IP 地 址 登录 


这 里 配置 只 有 192.168.233.100 可 以 登录 Telnet Server， 其 他 主机 不 可 以 登录 ， 编 辑 Telnet 
Server 配 置 文件 ， 配 置 参数 only_from， 添 加 允许 登录 的 卫 地 址 。 


[root@localhost /]# vi /etc/xinetd.d/telnet 
# default: on 
# description: The telnet server serves telnet sessions; it uses V 


# unencrypted username/password pairs for authentication. 
service telnet 
{ 

flags = REUSE 

socket_type = stream 

wait = no 

user = root 

server = /usr/sbin/in.telnetd 

log on failure += USERID 

disable - no 

only from - 192.168.233.100 //HR ftit 192.168.233.100 登录 
} 


编辑 Telnet Server 配 置 文件 后 ， 必 须 重新 启动 xinetd 服 务 ， 配 置 才 会 生效 。 


[root@localhost /]# service xinetd restart 
Stopping xinetd: [ OK 
Starting xinetd: [ OK 


在 192.168.233.100 客 户 端 使 用 命令 控制 台 登 录 ， 可 以 正常 登录 ， 代 表 配 置 成 功 ， 其 他 客户 
端 则 无 法 登录 。 


C:\Users\jerry>telnet 192.168.233.200 
CentOS Linux release 6.0 (Final) 

Kernel 2.6.32-71.e16.x86 64 on an x86 64 
login: jerry 

Password: 


200 


第 14 章 
Telnet 一 一 远程 登录 服务 器 


Last login: Mon Aug 22 10:45:50 from 192.168.233.100 
[jerry@localhost -]$ 


配置 特定 网 段 登 录 


配置 192.168.9.0/24 的 网 段 都 可 以 登录 ， 其 他 网 段 都 不 可 以 登录 ， 在 only_from 参数 上 增加 
允许 登录 的 网 段 。 
[root@localhost /]# vi /etc/xinetd.d/telnet 


# default: on 
# description: The telnet server serves telnet sessions; it uses \ 


# unencrypted username/password pairs for authentication. 
service telnet 
{ 

flags = REUSE 

socket_type = stream 

wait = no 

user = root 

server = /usr/sbin/in.telnetd 

log_on_failure += USERID 

disable = no 

only_from=192.168.9.0/24 // 限 制 只 有 192.168.9.0/24 网 段 才 可 以 登录 
} 


编辑 Telnet Server 配 置 文件 后 ， 必 须 重 新 启动 xinetd 服 务 ， 配 置 才 会 生效 。 


{root@localhost /]# service xinetd restart 
Stopping xinetd: [OKT 
Starting xinetd: [ OK ] 


配置 网 段 内 特定 IP 不 可 登录 


开放 特定 的 网 段 连 接 : 有 时 会 限制 其 中 几 个 IP 地 址 不 可 以 连接 :所 以 必须 要 排除 不 可 连接 
的 耳 地 址 ， 例 如 ， 配 置 192.168.9.100 及 192.168.9.200 不 可 以 登录 ， 其 他 192.168.9.0/24 网 段 都 可 
编辑 Telnet Server 配 置 文件 ， 除 了 原本 的 允许 网 段 外 ， 在 no_access 参 数 中 添加 他 地 址 
192.168.9.{100,200}。 
[root@localhost /]# vi /etc/xinetd.d/telnet 


# default: on 
# description: The telnet server serves telnet sessions; it uses \ 


# unencrypted username/password pairs for authentication. 
service telnet 
{ 

flags = REUSE 

socket_type = stream 

wait = no 

user = root 
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server = /usr/sbin/in.telnetd 

log on failure += USERID 

disable - no 

only from-192.168.9.0/24 // 限 制 只 有 192.168.9.0/24 网 段 才 可 以 登录 


no access-192.168.9.(100,200] 
// 此 网 段 中 192.168.9.100 和 200 配置 无 法 登录 


编辑 Telnet Server 配 置 文件 后 ， 必 须 重 新 启动 xinetd 服 务 ， 配 置 才 会 生效 。 


[root@localhost /]# service xinetd restart 
Stopping xinetd: [ ‘gx J 
Starting xinetd: [i | 


14.6 配置 允许 root 用 户 登录 


在 CentOS 操 作 系 统 下 , 系统 管理 员 root 用 户 权限 相当 于 Windows 的 administratos 所 以 Telnet 
Server 可 以 让 root 用 户 登 录 是 安全 性 的 一 大 隐患 ， 建 议 禁止 该 用 户 ， 若 要 开放 ， 建 议 可 以 配置 
特定 下地 址 或 网 段 登录 。 


开放 root 用 户 登 录 

开放 root 用 户 登 录 的 方法 很 简单 ， 只 要 将 securetty 更 换 为 其 他 名 称 ， 这 样 系统 就 读 不 到 
securetty 文 件 ， 则 不 会 限制 root 用 户 登录 。 
[root@localhost /]# mv /etc/securetty /etc/securetty.bk 

修改 配置 后 ， 必 须 重 新 启动 xinetd 服 务 ， 配 置 才 会 生效 。 


[root@localhost /]# service xinetd restart 
Stopping xinetd: [ OK ] 
Starting xinetd: EGR 


root 用 户 登录 测试 
在 客户 端 使 用 root 用 户 登 录 Telnet Server， 若 可 以 正常 登录 ， 代 表 配 置 成 功 。 


C:NUsersVjerrystelnet 192.168.233.200 

CentOS Linux release 6.0 (Final) 

Kernel 2.6.32-71.e16.x86 64 on an x86 64 

login: root //root 登录 

Password: 

Last login: Mon Aug 22 09:02:29 from 192.168.233.100 
[rootelocalhost ~]# 


202 


2153 


YUM 一 一 在 线 更 新 服务 器 


假设 公司 内 有 很 多 CentOS 系 统 主机 ， 如 果 每 台 都 对 外 更 新 软件 ， 则 公司 的 网 络 带宽 就 会 
下 降 ， 更 何况 更 新 的 站 点 不 一 定 是 速度 最 快 的 。 有 些 人 建议 使 用 光盘 更 新 ， 但 是 光盘 内 的 软件 
不 一 定 是 最 新 版 本 ,那么 有 什么 方法 可 以 让 更 新 速度 最 快 、 软 件 版 本 最 新 呢 ? 方法 就 是 自行 配 
置 在 线 更 新 服务 器 ， 其 一 局 域 网 的 速度 一 定 是 最 快 的 ， 其 二 在 线 更 新 服务 器 会 下 载 一 份 软件 的 
最 新 版 本 ， 若 每 一 台 CentOS 主 机 都 使 用 在 线 更 新 服务 器 的 话 ， 不 仅 可 以 节省 公司 网 络 带 宽 ， 
也 可 以 保证 软件 永远 是 最 新 的 。 


15.1 配置 在 线 更 新 服务 器 


下 面 介绍 如 何 配置 在 线 更 新 服务 器 ， 以 提供 公司 内 部 环境 更 新 ， 节 省 公司 网 络 带宽 。 


安装 mirrordir 软 件 


CentOS 系 统 默认 没有 安装 mirordir 软 件 ， 安 装 mirrordir 软 件 需要 两 个 RPM 文件 ， 分 别 为 
mirrordir-devel、mirordir〈 缺 一 不 可 )， 首 先 使 用 wget 方 式 下 载 ， 然 后 再 安装 。 
[root@localhost ~]# wget 
http://pkgs.repoforge.org/mirrordir/mirrordir-0.10.49-1.2.e15.rf.x86 64.rpm 


[root@localhost ~]# wget 
http: //pkgs .repoforge.org/mirrordir/mirrordir-devel-0.10.49-1.2.e15.rf.x86_64.rpm 


/[mirrordir 软件 下 载 


数据 来 源 :http://pkgs.repoforge.org/mirrordir/。 


两 个 RPM 文 件 必须 一 起 安装 ， 否 则 安装 时 会 发 生 错误 。 
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[root@localhost ~]# rpm -ivh mirrordir* //mirrordir 软件 安装 
warning: mirrordir-0.10.49-1.2.e15.rf.x86 64.rpm: Header V3 DSA/SHA1 Signature, key ID 
6b8d79e6: NOKEY 


Preparing... THHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE [100%] 
1:mirrordir JHEHEEIHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHRBHHHHHE [ 50$] 
2:mirrordir-devel THHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE [1008] 


安装 yum-arch 软件 


安装 YUM 在 线 更 新 服务 器 还 需要 yum-arch 软 件 ， 该 软件 的 功能 是 分 析 RPM 软件 的 
header, CentOS 6.x 操 作 系统 必须 安装 2.2.2-9 版 ， 否 则 无 法 安装 成 功 。 


[root@localhost ~]# wget 
ftp://fr2.rpmfind.net/linux/epel/beta/6/i386/yum-arch-2.2.2-9.e16.noarch.rpm 
//¥% yum-arch 

[root@localhost ~]# rpm -ivh yum-arch* / [3 yum-arch 
warning: yum-arch-2.2.2-9.e16.noarch.rpm: Header V3 RSA/SHA256 Signature, key ID 0608b895: 
NOKEY 
Preparing... THHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE [1001] 

1:yum-arch THEHHEHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHRE [100%] 


http://rpmfind.net/linux/RPM/epel/beta/6/1386/yum-arch-2.2.2-9.el6.noarch.html.; 


下 载 并 安装 createrepo 软件 


安装 YUM 在 线 更 新 服务 器 还 需要 createrepo 软 件 ， 该 软件 主要 功能 是 建立 索引 文件 ， 可 以 
使 用 YUM 在 线 更 新 方式 下 载 安装 。 


[root@localhost ~]# yum install -y createrepo 
Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 

createrepo noarch 0.9.8-4.e16 base 81k 
Installing for dependencies: 

deltarpm X86 64 3.5-0.5.20090913git.e16 base walk 
python-deltarpm x86 64 3.5-0.5.20090913git.el6 base AS 


Transaction Summary 


Install 3 Package (s) 
Upgrade 0 Package (s) 
Total download size: 179 k 
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配置 安装 Apache 服 务 


在 线 更 新 服务 器 配置 方法 会 用 到 Apache 服 务 ， 所 以 必须 安装 Apache 服 务 。 


[root@localhost ~]# yum install -y httpd 
Dependencies Resolved 
Package Arch Version Repository Size 


httpd x86 64 2.2.15-5.e16.centos base 811 k 
Installing for dependencies: 

apr x86 64 1.3.9-3.e16_0.1 updates 124 k 
apr-util x86_64 T.3.9-3.816 0.1 updates 87 k 
apr-util-ldap x86_64 1-3-9-3-eT650-1 updates 15 k 
httpd-tools x86_64 2.2.15-5.e16.centos base 68 k 


Transaction Summary 


Install 5 Package (s) 
Upgrade 0 Package (s) 
Total download size: 1.1 M 


CentOS 6.x 的 Apache 启 动 时 ， 会 出 现 ServerName 和 警告 信息 ， 只 要 编辑 Apache 配 置 文件 
ServerName 前 面 的 # 号 删除 ， 这 样 启 动 Apache 就 不 会 发 生 和 警告 了 。 


[root@localhost ~]# vi /etc/httpd/conf/httpd.conf 

ServerName gives the name and port that the server uses to identify itself. 
This can often be determined automatically, but we recommend you specify 
it explicitly to prevent problems during startup. 


If this is not set to valid DNS name for your host, server-generated 
redirections will not work. See also the UseCanonicalName directive. 


If your host doesn't have a registered DNS name, enter its IP address here. 
You will have to access it by its address anyway, and this will make 
redirections work in a sensible way. 


dE db dk dE db dE db db db dE db 


ServerName www.example.com:80 // 将 # 号 删除 即 可 


设置 Apache 配 置 文件 后 ， 就 可 以 启动 Apache 了 ， 在 线 更 新 服务 器 是 长 久 使 用 的 服务 
以 将 Apache 服 务 配置 为 默认 启动 。 


[root@localhost ~]# service httpd start 
Starting httpd: [ OK ] 
[root@localhost ~]# chkconfig httpd on 


配置 防火 墙 


配置 在 线 更 新 服务 器 需要 使 用 Apache 服 务 ， 所 以 必须 在 防火 墙 中 开启 Apache 端 口 80。 


YUM 一 一 在 线 更 新 服务 器 


， 将 


| Br 
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[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


防火 墙 配置 完毕 后 ， 必 须 重新 启动 防火 墙 ， 否 则 配置 不 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: [EPOR] 
iptables: Setting chains to policy ACCEPT: filter [ OK ] 
iptables: Unloading modules: | || 
iptables: Applying firewall rules: [ OK ] 


创建 在 线 更 新 服务 器 软件 目录 


必 备 软件 安装 完毕 后 ， 就 要 创建 软件 的 存放 目录 ， 这 里 使 用 CentOS 6.0 的 x86_64 环 境 ， 所 
以 在 Apache 网 页 目录 中 依次 建立 os、updates、extras 三 个 目录 。 


[root@localhost ~]# mkdir -p /var/www/html/yum/centos/6/0s/x86 64 
[root@localhost ~]# mkdir -p /var/www/html/yum/centos/6/updates/x86 64 
[root@localhost ~]# mkdir -p /var/www/html/yum/centos/6/extras/x86 64 


> 


建立 目录 加 上 参数 p， 功 能 为 直接 建立 所 有 相关 目 


下 载 在 线 更 新 服务 器 软件 


将 所 有 更 新 软件 下 载 到 在 线 更 新 服务 器 内 ， 光 x86_64 就 有 近 8GB， 下 载 时 间 有 点 久 ， 以 
50MB/s 光 纤 的 速度 下 载 ， 也 要 花 一 个 多 小 时 ， 可 以 泡 杯 咖啡 慢 慢 等 。 依 次 输入 命令 下 载 软件 ， 
建议 同时 开启 3 个 PuTTY 连 接 ， 不 然 第 一 个 命令 下 载 完 后 ， 再 回来 输入 第 二 个 命令 ， 既 费时 又 
打 烦 ， 尤 其 是 第 一 个 与 第 二 个 命令 下 载 的 软件 较 多 。 
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[rootGlocalhost ~]# mirrordir -v ftp://ftp.nsysu.edu.tw//Unix-like/CentOS/6.0/0s/x86 64 
/var/www/html/yum/centos/6/os/x86 64 

<- 中间 省 略 … 

[root@localhost ~]# mirrordir -v 
ftp://ftp.nsysu.edu.tw/Unix-like/CentOS/6.0/updates/x86 64 
/var/www/html/yum/centos/6/updates/x86 64 

-中 间 省 略 … 

[rootelocalhost ~]# mirrordir -v 
ftp://ftp.nsysu.edu.tw/Unix-like/CentOS/6.0/extras/x86 64 
/var/www/html/yum/centos/6/extras/x86 64 

-中 间 省 略 … 


测试 过 多 个 大 学 的 站 点 ， 目 前 上 只 有 中 国 台湾 中 山大 学 的 FTP 站 台 可 以 完整 下 载 ， 义 守 大 学 
的 FTP 站 点 有 时 下 载 到 一 半 就 停 住 ， 所 以 若 遇 到 下 载 到 一 半 就 停止 不 动 的 情况 ， 只 能 停 用 网 络 
再 启用 网 络 ， 这 样 才能 把 软件 下 载 完整 。 


分 析 RPM 软件 的 header 


使 用 yum-arch 分 析 RPM 软件 的 header， 依 次 分 析 os、updates、extras 三 个 目录 ， 若 此 软件 
版 本 不 符合 ，CentOS 6.0 操 作 系 统 就 会 发 生 错 误 。 


[root@localhost ~]# yum-arch /var/www/html/yum/centos/6/os/x86_64 
THIS PROGRAM IS DEPRECATED! 
You should be generating xml metadata instead. 
Please see http://linux.duke.edu/metadata 
Digesting rpms 21 $ complete: 
jakarta-commons-collections-testframework-3.2.1-3.4.e16.noarDigesting rpms 23 € 
complete: tigervnc-server-applet-1.0.90-0.10.20100115svn3945.e1l6.noarcDigesting rpms 28 
* complete: geoclue-devel-0.11.1.1-0.13.20091026git73b6729.e16.x86 64.rpDigesting rpms 
29 % complete: mobile-broadband-provider-info-devel-1.20100122-1.e16.noarchDigesting 
rpms 35 % complete: 
gstreamer-plugins-bad-free-devel-docs-0.10.19-2.e16.x86 64.rDigesting rpms 36 % 
complete: jakarta-commons-collections-testframework-javadoc-3.2.1-3.4.Digesting rpms 39 
% complete: tigervnc-server-module-1.0.90-0.10.20100115svn3945.e16.x86 6Digesting rpms 
42 % complete: xorg-xll-drv-nouveau-0.0.16-8.20100423git13c1043.e16.x86 64.Digesting 
rpms 45 % complete: 
dbus-c++-devel-0.5.0-0.10.20090203git13281b3.1.e16.x86_ 64.rpDigesting rpms 50 € 
complete: openoffice.org-presentation-minimizer-3.2.1-19.6.e16.x86 64.Digesting rpms 93 
* complete: pentaho-reporting-flow-engine-javadoc-0.9.2-5.00031.e16.noarDigesting rpms 
100 % complete: nss-pkcs11-devel-3.12.7-2.e16.i686.rpm .rpmmrpm 

Total: 6019 

Used: 6019 

Src: 0 
Writing header.info file 
[root@localhost ~]# yum-arch /var/www/html/yum/centos/6/updates/x86 64 
THIS PROGRAM IS DEPRECATED! 
You should be generating xml metadata instead. 
Please see http://linux.duke.edu/metadata 
Digesting rpms 30 % complete: 
openoffice.org-presenter-screen-3.2.1-19.6.e16 0.5.x86 64.rpDigesting rpms 38 € 
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complete: openoffice.org-opensymbol-fonts-3.2.1-19.6.e16 0.5.noarch.rpDigesting rpms 62 
* complete: openoffice.org-presentation-minimizer-3.2.1-19.6.e16 0.5.x86Digesting rpms 
100 % complete: gt-devel-4.6.2-17.e16.x86 64.rpm mrpm4 . rpm 
Total: 1042 
Used: 1042 
Src: 0 
Writing header.info file 
[root@localhost ~]# yum-arch /var/www/html/yum/centos/6/extras/x86 64 
THIS PROGRAM IS DEPRECATED! 
You should be generating xml metadata instead. 
Please see http://linux.duke.edu/metadata 
Digesting rpms 100 % complete: centos-release-cr-6-0.el6.centos.x86 64.rpm 
Total: 1 
Used: 1 
Src: 0 
Writing header.info file 


此 错误 为 yum-arch 软 件 版 本 不 符 ， 更 换 至 对 应 的 版 本 即 可 。 


[root@localhost ~]# yum-arch /var/www/html/yum/centos/6/0s/x86 64 
Traceback (most recent call last) : 
File "/usr/bin/yum-arch", line 22, in «module» 
import pullheaders 
File "/usr/share/yum-arch/pullheaders.py", line 27, in «module» 
from yum.logger import Logger 
File "/usr/share/yum-arch/yum/ init  .py", line 908 
self.repos.populateSack (with-'filelists') 


SyntaxError: invalid syntax 


createrepos£ xr zz 5 | xc fft 


Createrepo 软件 会 自动 产生 XML metadata， 在 目录 下 产生 repodata 文件 夹 ， 依 次 分 析 os、 
updates、extras 三 个 目录 。 


[root@localhost ~]# createrepo /var/www/html/yum/centos/6/0s/x86 64 
4786/6019 - Packages/slang-2.2.1-1.e16.1686.rpm 

iso-8859-1 encoding on Ville SkyttÉ <ville.skytta@iki.fi> - 2.8.2-2 
6019/6019 - Packages/nss-pkcs11-devel-3.12.7-2.e16.i686.rpm 

Saving Primary metadata 

Saving file lists metadata 

Saving other metadata 

[root@localhost ~]# createrepo /var/www/html/yum/centos/6/updates/x86 64 
860/1042 - RPMS/pango-devel-1.28.1-3.e16 0.3.1686.rpm 

iso-8859-1 encoding on Ville Skytt® <ville.skytta@iki.fi> - 2.8.2-2 
1042/1042 - RPMS/qt-devel-4.6.2-17.e16.x86 64.rpm 

Saving Primary metadata 

Saving file lists metadata 

Saving other metadata 

[root@localhost ~]# createrepo /var/www/html/yum/centos/6/extras/x86 64 
1/1 - RPMS/centos-release-cr-6-0.el6.centos.x86 64.rpm 

Saving Primary metadata 

Saving file lists metadata 

Saving other metadata 
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软件 每 个 月 多 少 都 会 更 新 建议 每 个 月 更 新 一 次 不 过 更 新 不 大 可 以 创建 计划 任务 或 shell 
脚本 去 执行 ， 不 然 要 执行 太 多 行 的 命令 。 


客户 端 进行 repo 配 置 


在 线 更 新 服务 器 配置 后 ， 接 下 来 就 是 配置 客户 端的 repo， 将 base、updates、extras 三 个 目录 
的 mirrorlist 加 上 #， 然 后 修改 baseurl 路 径 ， 将 http://mirror.centos.org/centos 这 一 段 修改 成 
http://192.168.233.192/yum/centos， 修 改 完毕 后 ， 保 存 退 出 ， 这 样 客户 端 就 可 以 使 用 所 配置 的 
在 线 更 新 服务 器 更 新 软件 了 。 
[root@localhost ~]# cd /etc/yum.repos.d 
[root@localhost yum.repos.d]# cp CentOS-Base.repo CentOS-Base.repo.old 


// AK CentOS-Base.repo 复制 一 份 
[root@localhost yum.repos.d]# vi CentOS-Base.repo / /修改 默认 repo 


# CentOS-Base.repo 

# 

# The mirror system uses the connecting IP address of the client and the 
# update status of each mirror to pick mirrors that are updated to and 

# geographically close to the client. You should use this for CentOS updates 
# unless you are manually picking other mirrors. 

# 

# If the mirrorlist= does not work for you, as a fall back you can try the 
# remarked out baseurl= line instead. 

# 

# 

[base] 


name-CentOS-$releasever - Base 
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os 
baseurl=http://192.168.233.192/yum/centos/$releasever/os/$basearch/ 

gpgcheck=1 

Ggpgkey-file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 

#released updates 

[updates] 

name-CentOS-$releasever - Updates 
Simirrorlist-http://mirrorlist.centos.org/?release-$releasever&arch-$basearch&repo-upda 
tes 

baseurl=http://192.168.233.192/yum/centos/$releasever/updates/$basearch/ 

gpgcheck=1 

gpgkey-file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 

#additional packages that may be useful 

[extras] 

name-CentOS-$releasever - Extras 
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extr 
as 

baseurl-http://192.168.233.192/yum/centos/$releasever/extras/$basearch/ 

gpgcheck-1 

Ggpgkey-file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 


J 
| 192.168.233.192 为 示例 人 P 地 址 。 | 
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15.2 使 用 光盘 安装 更 新 软件 


CentOS 操 作 系统 运行 时 ， 如 果 遇 到 主机 配置 不 能 连接 广域网 的 话 ， 在 需要 安装 软件 时 ， 

YUM 方 式 就 无 法 安装 ， 其 实 换 一 种 方式 ， 将 数据 源 由 网 络 改 成 光盘 ， 就 可 以 使 用 了 ， 不 过 有 
-点 要 注意 , 使 用 光盘 做 数据 源 的 话 , 光盘 软件 的 版 本 不 一 定 是 最 新 版 本 ， 所 以 若 有 这 种 顾虑 ， 
不 建议 使 用 这 样 的 方式 。 

CentOS 系 统 默认 在 目录 /etc/yum.repos.d4 下 有 两 个 repo 文 件 ，CentOS-Basexrepo 是 给 在 线 
YUM 使 用 ， 另 一 个 CentOS-Media.repo 是 给 光盘 YUM 使 用 ， 系 统 安装 完 后 ， 只 有 
CentOS-Baserepo 是 启用 的 ，CentOS-Mediarepo 是 停 用 的 。 

假设 没有 网 络 时 ， 只 能 使 用 光盘 来 YUM 安 装 软件 ， 那 就 先 到 yum.repos.d 目 录 中 ， 编 辑 
CentOS-Media.repo X ff, 通过 baseurl 配 置 光盘 路 径 这 里 将 光盘 挂 载 到 /mnt/cdrom F, 将 enabled 
设 为 1， 这 样 配置 才 会 启动 ，CentOS-Baserepo 就 将 之 改名 或 者 将 enabled 设 为 0， 建 议 将 配置 文 
件 改名 ， 以 免 日 后 要 使 用 CentOS-Base.repo 文 件 时 出 现 问 题 。 


[root@localhost ~]# cd /etc/yum.repos.d/ 

[root@localhost yum.repos.d]# mv CentOS-Base.repo CentOS-Base.repo.bk 
[root@localhost yum.repos.d]# vi CentOS-Media.repo 

# CentOS-Media.repo 

# 

# This repo is used to mount the default locations for a CDROM / DVD on 
# = CentOS-6. You can use this repo and yum to install items directly off the 
# DVD ISO that we release. 

# 

# To use this repo, put in your DVD and use it with the other repos too: 
# yum --enablerepo-c6-media [command] 

# 

# or for ONLY the media repo, do this: 

# 

# yum --disablerepo=\* --enablerepo-c6-media [command] 


[c6-media] 

name-CentOS-$releasever - Media 

baseurl=file:///mnt/cdrom 

gpgcheck=1 

enabled=1 //1 启用 ，0 停 用 
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 


接 下 来 就 是 挂 裁 光 盘 到 /manycdrom 目 录 ， 先 在 /mnt 下 创建 cdrom 目 录 ， 创 建 完成 后 ， 就 可 
以 挂 载 光 盘 了 ， 命 令 如 下 。 


[root@localhost ~]# mkdir /mnt/cdrom // 建 立 cdrom 目录 
[root@localhost ~]# mount -t iso9660 /dev/cdrom /mnt/cdrom  // 挂 载 光 驱 
mount: block device /dev/sr0 is write-protected, mounting read-only 


光驱 挂 载 成 功 后 ， 试 着 安装 一 个 软件 ， 检 查 Repository 是 不 是 c6-media， 是 的 话 就 代表 成 功 。 
rootalocalhost ~]# yum install vsftpd 


Loaded plugins: fastestmirror 
c6-media | 4.0 kB 00:00 ... 


210 


#15¢ 
YUM 一 一 在 线 更 新 服务 器 


c6-media/primary db | 4.2 MB 00:00 ... 
Setting up Install Process 

Resolving Dependencies 

--» Running transaction check 

---» Package vsftpd.x86 64 0:2.2.2-6.e16 set to be updated 

--» Finished Dependency Resolution 

Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 
vsftpd x86 64 2.2.2-6.e16 c6-media 149 k 


Transaction Summary 
Install 1 Package (s) 
Upgrade 0 Package (s) 
Total download size: 149 k 


永久 挂 载 光驱 


接 下 来 无 论 安 装 何 种 软件 ， 安 装 速度 都 特别 快 ， 不 过 要 长 久 使 用 光盘 安装 ， 就 必须 要 将 光 
盘 挂 载 信 息 写 入 /etc/fstab， 这 样 开机 时 才 可 以 自动 加 载 。 


[root@localhost ~]# vi /etc/fstab 

# 

# /etc/fstab 

# Created by anaconda on Sun Sep 18 19:54:12 2012 

# 

# Accessible filesystems, by reference, are maintained under '/dev/disk' 

# See man pages fstab (5) , findfs (8) , mount (8) and/or blkid (8) for more info 
# 


/dev/mapper/VolGroup-lv_root / ext4 defaults IE 
UUID=371000c0-3dfe-4784-a3a8-677d888248d0 /boot ext4 defaults 12 
/dev/mapper/VolGroup-lv swap swap swap defaults 00 
tmpfs /dev/shm tmpfs defaults 00 
devpts /dev/pts devpts  gid-5,mode-620 00 
sysfs /sys sysfs defaults 00 
proc /proc proc defaults 00 
/dev/cdrom /mnt/cdrom iso9660 defaults 00 


15.3 指定 大 学 站 点 


编辑 CentOS-Baserepo， 将 每 个 mirrorlist 前 面 加 上 # 号 停 用 ， 然 后 再 将 每 个 baseurl 网 址 修 
改 ， 这 里 配置 义 守 大 学 的 文件 服务 器 ， 配 置 完成 后 ， 清 除 缓存 就 可 以 使 用 该 站 点 更 新 软件 了 。 


[root@localhost ~]# vi /etc/yum.repos.d/CentOS-Base.repo 

# CentOS-Base.repo 

# 

# The mirror system uses the connecting IP address of the client and the 

# update status of each mirror to pick mirrors that are updated to and 

# geographically close to the client. You should use this for CentOS updates 
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# unless you are manually picking other mirrors. 

# 

# If the mirrorlist= does not work for you, as a fall back you can try the 
# remarked out baseurl= line instead. 

# 

# 

[base] 

name-CentOS-$releasever - Base 
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os 
baseurl-http://ftp.isu.edu.tw/pub/Linux/CentOS/$releasever/os/$basearch/ 
gpgcheck-1 

gpgkey-file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 


#released updates 

[updates] 

name-CentOS-$releasever - Updates 
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=upda 
tes 

baseurl-http://ftp.isu.edu.tw/pub/Linux/CentOS/$releasever/updates/$basearch/ 
gpgcheck-1 

gpgkey-file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 


#additional packages that may be useful 

[extras] 

name-CentOS-$releasever - Extras 
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extr 
as 

baseurl-http://ftp.isu.edu.tw/pub/Linux/CentOS/$releasever/extras/$basearch/ 
gpgcheck-1 

gpgkey-file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 

#additional packages that extend functionality of existing packages 

[centosplus] 

name-CentOS-$releasever - Plus 

#mirrorlist=http://mirrorlist .centos.org/?release=$releasever&arch=$basearch&repo=cent 
osplus 
baseurl-http://ftp.isu.edu.tw/pub/Linux/CentOS/$releasever/centosplus/$basearch/ 
gpgcheck=1 

enabled=0 

gpgkey-file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 

#contrib - packages by Centos Users 

[contrib] 

name-CentOS-$releasever - Contrib 
smirrorlist-http://mirrorlist.centos.org/?release-$releasever&arch-$basearch&repo-cont 
rib 

baseurl-http://ftp.isu.edu.tw/pub/Linux/CentOS/$releasever/contrib/$basearch/ 
gpgcheck=1 

enabled=0 

Ggpgkey-file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 
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NTP 全 名 为 Network Time Protocol， 就 是 网 络 时 间 同 步 的 服务 ， 时 间 的 准确 性 是 非常 重要 
的 ， 很 多 数据 上 的 记录 都 需要 正确 的 时 间 ， 所 以 时 间 不 正确 时 ， 所 记录 的 数据 也 不 正确 。 网 络 
上 有 很 多 时 间 的 站 点 ， 上 海 交 通 大 学 网 络 中 心 与 中 国 科 学 院 国家 授时 中 心 都 配置 了 时 间 服 务 
器 ， 所 以 自行 配置 的 时 间 服 务 器 都 需要 与 该 时 间 服 务 器 同步 。 


16.1 配置 NTP 时 间 服 务 器 


检查 NTP 软 件 


检查 是 否 安装 NTP 服 务 ， 如 果 系统 没有 安装 ， 使 用 YUM 在 线 更 新 方式 进行 安装 。CentOS 
系统 默认 已 安装 NTP 服 务 软件 。 
[root@localhost ~]# rpm -qa | grep ntp 
ntpdate-4.2.4p8-2.e16.x86 64 


fontpackages-filesystem-1.41-1.1.e16.noarch 
ntp-4.2.4p8-2.e16.x86 64 


配置 同步 时 间 服 务 器 站 点 


编辑 NTP 服 务 配 置 文件 ， 默 认 有 三 个 站 台数 据 ， 全 部 标 上 # 号 ， 配 置 5 个 国内 NTP 站 台 的 资 
料 。 


[root@localhost ~]# vi /etc/ntp.conf 

# Use public servers from the pool.ntp.org project. 

# Please consider joining the pool (http://www.pool.ntp.org/join.html) . 
#server 0.rhel.pool.ntp.org // 将 原来 三 组 加 上 # 号 停 用 
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#server 1.rhel.pool.ntp.org 

#server 2.rhel.pool.ntp.org 

server ntp.sjtu.edu.cn // 以 下 5 组 为 国内 各 大 学 的 时 间 服 务 器 站 点 
server sla.time.edu.cn 

server slb.time.edu.cn 

server sld.time.edu.cn 

server s2c.time.edu.cn 


: http://www.time.ac.cn/links.htm, 


启动 NTP 时 间 服 务 器 


NTP 服 务 配置 完成 后 ， 在 启动 NTP 服 务 时 ， 请 耐心 等 待 几 分 钟 ， 本 地 NTP 服 务 器 会 与 上 游 
时 间 服 务 器 同步 ， 这 样 才 可 以 进行 时 间 同 步 ， 建 议 NTP 时 间 服 务 器 是 长 久 运 行 的 服务 ， 将 其 设 
为 系统 默认 启动 。 
[root@localhost ~]# service ntpd start // 启 动 时 间 服 务 器 
Starting ntpd: [ OK ] 
[root@localhost ~]# chkconfig ntpd on // 配 置 时 间 服 务 器 默认 启动 

NTP 服 务 启 动 后 ， 检 查 当 前 NTP 服 务 运作 的 状态 。 


[root@localhost ~]# netstat -tunlp | grep ntpd 


udp 0 0 192.168.233.195:123 0-05020:* 1695/ntpd 
udp 0 0 127.0.0.1:123 0.0.0.0:* 1695/ntpd 
udp 0 0 0.0.0.0:123 0.0.0.0:* 1695/ntpd 
udp 0 0 fe80::20c:29ff:fe46:123 EI 1695/ntpd 
udp 0 0 ::1:123 T 1695/ntpd 
udp 0 0 :::123 iii 1695/ntpd 


检查 时 间 服 务 器 状态 


NTP 服 务 启 动 完毕 后 ， 过 几 分 钟 后 开始 同步 ， 再 查询 当前 NTP 时 间 服 务 器 的 时 间 ， 刚 启动 
马上 查询 是 不 会 有 任何 数据 的 。 


[root@localhost ~]# ntpq -p // 检 查 当前 的 时 间 服 务 器 状态 


remote refid st t when poll reach delay offset jitter 
210.72.145.44 INIT. d60n = 64 0 0.000 0.000 0.000 
dns.sjtu.edu.cn 114.80.81.13 ei {hi ale! 64 3 30.218 3.292 0.194 
202.112.10.60 .STEP. 16u 11 64 0 0.000 0.000 0.000 
202:112:7:150 204.235.61.9 3u 9 64 3 4.181 9:272 0.222 
202.120.23.169 .INIT. 16u - 64 0 0.000 0.000 0.000 
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配置 防火 墙 


NTP 时 间 服 务 器 配置 完成 后 ， 要 在 防火 墙 配置 中 开启 相对 应 的 端口 ， 否 则 无 法 提供 其 设备 
的 时 间 同 步 ， 时 间 服 务 器 的 端口 为 UDP 123. 


[root@localhost /]# vi /etc/sysconfig/iptables 
# Firewall configuration written by system-config-firewall 
# Manual customization of this file is not recommended. 
*filter 
:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0] 
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT 


/ /NTP 时 间 服 务 器 端口 


-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 


配置 完 防火 墙 后 ， 必 须要 重新 启动 防火 墙 ， 和 否则 配置 无 法 生效 。 


[root@localhost /]# service iptables restart 


iptables: Flushing firewall rules: L OKT 
iptables: Setting chains to policy ACCEPT: filter | :| 

iptables: Unloading modules: [ ‘OK ] 
iptables: Applying firewall rules: oR | 


Windows 7 客户 端 时 间 同 步 


选择 【开始 】 菜 单 中 的 【控制 面板 〗 打开 【日 期 和 时 间 】， 选 择 【Intermet 时 间 】， 按 【更 
改 设置 】。 


EE] 
EN [peg 


加 


BAENA 7192168233200 BE. 


下 次 Rs 2012/9/2 1743 


RISE 2012/9/2 1743 5 192.168.229.200 RAE. 


先 确认 色 选 了 【与 Intemet 时 间 服 务 器 同步 ])， 在 【服务 器 】 选 项 中 输入 NTP 服 务 嚣 的 人 P 地 
址 ， 然 后 按 【 立 即 更 新 】〗， 时 间 就 会 立即 同步 。 出 现 完成 同步 的 提示 ， 代 表 同 步 成 功 ， 也 可 以 
将 时 间 调 至 其 他 时 间 ， 更 可 以 看 出 是 否 已 正常 同步 。 
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pre = 
BEE Irterrot AIDE: 
1) Internet MEESTERS) 
BH. 192.168.222.200 - | Sw 


时 在 2012/9/2 17943 5 192.168.233.100 RSh, 


[mm] Li) 


16.2 调整 系统 时 间 及 时 区 


配置 完 NTP 时 间 服 务 器 后 ， 客 户 端 就 要 知道 该 如 何 同 步 ， 以 下 大 致 介绍 该 如 何 检查 时 间 、 
调整 时 间 及 日 期 ， 更 重要 的 是 如 何 将 时 间 写 入 硬件 。 

调整 系统 时 间 前 ， 先 确定 服务 器 所 在 的 时 区 ， 例 如 ， 当 前 位 置 为 北京 ， 检 查 Clock 文 件 参 
数 ZONE 为 Asia/shanghai， 和 当前 服务 器 配置 为 同一 时 区 ， 如 果 非 当前 时 区 可 以 做 修改 。 


[root@localhost ~]# vi /etc/sysconfig/clock 
ZONE-"Asia/shanghai" 


检查 当前 时 间 ， 使 用 date 命 令 可 以 看 到 当前 主机 时 间 。 


[root@localhost ~]# date 
Thu Sep 01 10:42:17 CST 2012 


调整 当前 主机 时 间 和 日 期 ， 假 设 要 调整 为 2012 年 9 月 3 号 ， 配 置 完成 后 ， 系 统 就 会 显示 修改 
好 的 日 期 ， 不 过 此 方式 会 将 时 间 改 为 00:00:00。 


[root@localhost ~]# date -s 20120903 
Mon Sep 03 00:00:00 CST 2012 


调整 当前 主机 时 间 ， 假 设 要 调整 为 11 点 30 分 00 秒 ， 配 置 完毕 后 ， 系 统 就 会 显示 修改 好 的 时 
间 ， 此 方式 不 会 影响 到 日 期 。 


[root@localhost ~]# date -s 11:30:00 
Mon Sep 03 11:30:00 CST 2012 


若 要 修改 时 间 ， 建 议 将 日 期 和 时 间 一 起 调整 ,假设 要 调整 为 2012 年 09 月 03 日 11 点 30 分 30 秒 。 
[root@localhost ~]# date -s "11:30:30 20120903" 
Mon Sep 03 11:30:30 CST 2012 

系统 调整 好 时 间 后 要 同步 到 BIOS 上 才 算 完成 ， 先 查看 系统 时 间 跟 硬件 时 间 是 否 相 同 ，date 
为 系统 时 间 ，hwclock 为 硬件 时 间 (BIOS)， 当 前 两 个 时 间 不 同步 。 


[root@localhost /]# date ; hwclock -r // 系 统 时 间 与 BIOS 时 间 的 对 比 
Mon Sep 03 11:36:32 CST 2012 // 系 统 时 间 
Mon 03 Sep 2012 10:57:17 AM CST -0.524230 seconds // 硬 件 时 间 
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配置 时 间 时 要 配置 到 几乎 零 误 差 ， 就 只 能 跟 时 间 服 务 器 进行 同步 ， 时 间 服 务 器 通常 会 对 国 
家 授时 中 心 公布 的 站 点 同步 。 
[root@localhost /]# ntpdate dns.sjtu.edu.cn // 与 时 间 服务 器 同步 
03 Sep 11:00:11 ntpdate[1878]: adjust time server 202.120.2.101 offset -0.012233 sec 
系统 时 间 同 步 完 成 后 再 将 系统 时 间 写 入 硬件 时 间 , 最 后 两 者 再 次 做 比较 时 间 几 乎 相同 ， 
只 有 小 小 的 误差 。 


[root@localhost /]# hwclock -w // 将 时 间 写 入 硬件 BIOS 
[root@localhost /]# date ; hwclock -r  ”// 系 统 时 间 与 BIOS 时 间 的 对 比 
Mon Sep 25 03:01:35 CST 2012 // 系 统 时 间 


Mon 25 Sep 2012 03:01:36 AM CST -0.856179 seconds // 硬 件 时 间 
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Dovecot 一 一 接收 邮件 服务 


Dovecot 官 方 网 站 : http://www.dovecot.org/。 

Internet Message Access Protocol (缩写 为 IMAP， 交 互 式 邮件 存 取 协 议 ) 是 一 个 应 用 层 协 
议 ， 它 的 主要 作用 是 邮件 客户 端 〈 如 Microsoft Outlook, Outlook Express, Foxmail, Mozilla 
Thunderbird) 可 以 从 邮件 服务 器 上 获取 邮件 信息 。IMAP 和 POP3 (Protocol Of Post version 3, 
邮局 协议 的 第 三 版 ) 是 邮件 收发 最 为 普遍 的 Intemet 标 准 协议 。 目 前 所 有 的 邮件 客户 端 和 服务 
器 都 对 两 者 予以 支持 。 


安装 Dovecot 服 务 


检查 Dovecot 服 务 是 否 安装 


使 用 前 应 检查 是 否 已 安装 Dovecot 服 务 ， 有 的 系统 会 默认 安装 或 安装 系统 前 该 服务 就 已 经 
在 安装 清单 内 ， 若 默认 为 Basic Server 则 不 会 安装 。 


[root@localhost ~]# rpm -qa | grep dovecot 
dovecot-2.0-0.10.beta6.20100630.e16.x86 64 


安装 Dovecot 服 务 


如 果 操 作 系统 未 安装 Dovecot 软 件 ， 建 议 使 用 yum 在 线 更 新 方法 进行 安装 ， 或 者 到 官网 下 
载 Dovecot 软 件 安装 。 
[root@localhost ~]# yum install -y dovecot // 安 装 Dovecot 服务 


Dependencies Resolved 
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Package Arch Version Repository Size 
Installing: 
dovecot X86 64  1:2.0-0.10.beta6.20100630.e16 base 2.2 M 


Transaction Summary 


Install 1 Package (s) 
Upgrade 0 Package (s) 


Total download size: 2.2 M 


配置 protocols 


安装 好 Dovecot 服 务 后 ， 启 动 前 必须 修改 配置 文件 ， 最 重要 的 就 是 protocols 参 数 ， 这 个 配 
置 会 影响 Dovecot 使 用 什么 协议 与 客户 端 通信 ， 主 要 使 用 POP3、IMAP 协 议 ， 默 认 不 启用 ， 开 
启 方式 很 简单 ,将 配置 文件 内 protocols 参 数 前 的 # 号 删除 ， 系 统 就 会 自动 同时 使 用 [MAP 和 POP3 
协议 ， 若 要 使 用 其 中 之 一 的 话 ， 例 如 不 使 用 POP3， 可 将 POP3、POP3S 删 除 ， 这 样 系统 就 使 用 
IMAP 收 信 。 注 意 CentOS 6 和 CentOS 5 版 本 系统 中 Dovecot 服 务 的 配置 文件 路 径 有 所 不 同 。 
[root@localhost ~]# vi /etc/dovecot/dovecot.conf 


# Protocols we want to be serving. 


protocols - imap pop3 // 将 # 号 删除 ， 配 置 所 要 使 用 的 协议 


z 


CentOS 6.x 系 统 Dovecot 服 务 的 配置 文件 路 径 为 /etc/dovecot/dovecot.conf。 


CentOS 5.x 系 统 Dovecot 服 务 的 配置 文件 路 径 为 /etc/dovecot.conf。 


启动 Dovecot 服务 


修改 Dovecot 配 置 后 ， 就 可 以 启动 dovecot 服 务 了 ， 为 了 使 邮件 服务 器 提供 收 信 功 能 ， 建 议 
将 Dovecot 服 务 设 为 默认 启动 ， 以 免 重新 启动 系统 后 忘记 启动 。 


[root@localhost ~]# service dovecot start //Dovecot 启动 
Starting Dovecot Imap: E | 
[root@localhost ~]# chkconfig dovecot on //Dovecot 默认 启动 


Dovecot 服 务 启动 若 出 现 失败 信息 ， 该 失败 信息 显示 端口 993 已 被 使 用 ，Dovecot 无 法 正常 
启动 。 
[rootelocalhost ~]# service dovecot start 


Starting Dovecot Imap: Fatal: listen (993) failed: Address already in use 
[FAILED] 
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主要 原因 在 于 端口 993 正 被 mpc.statd 使 用 ，Dovecot 配 置 文件 中 protocols 配 置 的 imaps 的 端口 
也 是 993， 所 以 必须 修改 ， 否 则 无 法 启动 Dovecot 服 务 。 


[root@localhost ~]# netstat -tunlp | grep 993 


tcp 0 0 0.0.0.0:993 0-0, 050-* LISTEN 2931/rpc.statd 
配置 防火 墙 


所 有 要 对 外 连接 的 服务 都 必须 开启 防火 墙 , POP3 和 IMAP 所 使 用 的 端口 分 别 为 110、143， 
根据 Dovecot 配 置 文件 对 protocols 参 数 配置 的 协议 开启 防火 墙 。 


[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT 
//POP3 服务 使 用 端口 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 143 -j ACCEPT 
// IMAP 服务 使 用 端口 

-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


防火 墙 配 置 完成 后 ， 必 须 重新 启动 防火 墙 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: L OETI 
iptables: Setting chains to policy ACCEPT: filter lt | 
iptables: Unloading modules: [ox 1 
iptables: Applying firewall rules: [ OK ] 


检查 POP3 (1100 RIMAP (143) 是 否 运行 


Dovecot 服 务 基 本 配置 完成 后 ， 就 可 以 启动 Dovecot 服 务 ， 使 用 前 建议 检查 服务 是 否 正常 运 
行 ， 以 确保 服务 可 以 正常 使 用 。 
检查 POP3 是 否 运 行 ， 若 无 任何 信息 代表 服务 未 开启 ，110 为 POP3 使 用 的 端口 。 


[root@localhost ~]# netstat -tunlp | grep 110 
tcp 0 0 0.0.0.0:1100.0.0.0:* LISTEN 1795/dovecot 
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teop 0 0 :::110 :z* LISTEN 1795/dovecot 


检查 IMAP 是 否 运 行 ， 若 无 任何 信息 代表 服务 未 开启 ，143 为 IMAP 使 用 的 端口 。 


[root@localhost ~]# netstat -tunlp | grep 143 
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 1795/dovecot 


tep (0) 0 :::143 EE LISTEN 1795/dovecot 


Dovecot 配 置 允 许 使 用 Outlook 或 Outlook Express 接 收 信件 


Dovecot 基 本 配置 完成 后 ， 除 了 使 用 Web 方 式 查 看 信件 之 外 ，Dovecot 服 务 还 可 以 使 用 邮件 
客户 端 接收 信件 不 过 CentOS 6.x 系 统 版 本 以 前 不 用 配置 就 可 以 正常 收发 信件 但 是 CentOS 6.x 
系统 版 本 必须 要 配置 才 可 以 正常 收发 信件 ， 在 Dovecot 配 置 文件 最 后 一 行 添加 以 下 4 行 信息 ， 这 
样 邮件 客户 端 才 可 以 通过 验证 接收 邮件 。 

[root@mail ~]# vi /etc/dovecot/dovecot.conf 


disable plaintext auth = no 
mail location = mbox:~/mail:INBOX=/var/mail/%u 


pop3 uidl format = %08Xu%08Xv 
pop3 client workarounds - outlook-no-nuls oe-ns-eoh 
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Sendmail 官 方 网 站 : http://www.sendmailorg/。 

Sendmail 是 一 套 功 能 强大 的 邮件 传输 系统 (Mail Transfer Agent)， 历 史 也 相当 悠久 ， 很 多 
Linux 操 作 系统 默认 都 会 安装 ，CentOS 6.x 系 统 以 前 的 版 本 也 是 默认 安装 ， 不 过 使 用 一 段 时 间 
之 后 Sendmail 出 现 了 不 少 重大 的 安全 漏洞 ,有 些 漏 洞 能 够 入 侵 服务 器 ， 直 接 影响 整个 系统 的 运 
行 ,， 还 有 Sendmail 的 配置 文件 比较 麻烦 ， 一 般 系统 管理 人 员 很 难 轻易 掌握 ， 所 以 有 些 Linux 操 
作 系 统 不 再 默认 安装 。 

以 下 配置 皆 在 CentOS 6.x 操 作 系统 上 配置 ， 不 过 建议 如 果 条 件 允 许 ， 可 以 采用 Postfix 发 送 
服务 器 ，Sendmail 只 在 这 个 章节 中 介绍 。 


18.1 安装 配置 Sendmail 服 务 


CentOS 6.x 版 本 后 已 经 不 默认 安装 Sendmail 服 务 ，CentOS 5.x 版 本 以 前 还 是 默认 安装 ， 如 
果 要 使 用 Sendmail 服 务 应 该 先 做 相关 检查 及 配置 。 


检查 Sendmail 软 件 
检查 Sendmail 软 件 ， 若 无 任何 信息 表示 没有 安装 Sendmail 服 务 ， 需 自行 安装 。 
[root@localhost ~]# rpm -qa | grep sendmail // 检 查 是 否 安装 sendmail 


sendmail-8.14.4-8.e16.x86_ 64 


A= Sendmail 服务 


安装 Sendmail 服 务 的 方法 有 很 多 种 ， 不 过 建议 使 用 yum 在 线 更 新 方法 进行 安装 ， 除 了 安装 
比较 方便 外 相关 的 应 用 软件 也 会 自动 安装 , 使 用 Sendmail 服 务 需 要 安装 两 个 基本 软件 sendmail 
和 sendmail-cf。 
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[root@localhost ~]# yum install -y sendmail sendmail-cf 
Dependencies Resolved 


Package Arch Version Repository Size 


Sendmail x86 64 8.14.4-8.e16 base aue 

sendmail-cf noarch  8.14.4-8.e16 base 184 k 
Installing for dependencies: 

Procmail x86 64  3.22-25.1.e16 base 163 k 


Transaction Summary 


Install 3 Package (s) 
Upgrade 0 Package (s) 
Total download size: 1.0 M 


启动 Sendmail 服 务 


Sendmail 安 装 完成 后 ， 就 可 以 启动 Sendmail 服 务 了 ， 建 议 将 Sendmail 服 务 设 为 默认 开机 启 
动 ， 以 免 重新 启动 操作 系统 后 忘记 启动 Sendmail 服 务 ，CentOS 6.x 以 前 的 版 本 已 配置 为 默认 启 
动 。 假 如 CentOS 6.x 要 使 用 Sendmail， 记 得 要 将 Postfix 服 务 停 用 ， 以 免 两 个 服务 发 生 冲突 。 


[root@localhost ~]# service sendmail start // 启 动 sendmail 
Starting sendmail: De 

Starting sm-client: [30K 71 

[root@localhost ~]# chkconfig sendmail on // 配 置 sendmail 默认 启用 


配置 防火 墙 


Sendmail 默 认 使 用 的 端口 为 23， 也 是 SMTP 服 务 默认 的 端口 ， 需 要 在 防火 墙 配 置 中 开启 
SMTP 服 务 端 口 ， 若 未 配置 则 无 法 对 外 发 送 邮件 。 


[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

Eigen 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 143 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT 
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//SMTP 端口 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 


防火 墙 开启 SMTP 服 务 端口 后 ， 必 须 重新 启动 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: [ OK ] 
iptables: Setting chains to policy ACCEPT: filter [OK 
iptables: Unloading modules: [lL Tes | 
iptables: Applying firewall rules: [ OK ] 


检查 Sendmail 服 务 是 否 运行 


检查 Sendmail 服 务 是 否 正常 使 用 SMTP 服 务 端口 运行 ， 若 未 出 现任 何 信息 ， 表 示 配 置 有 问 


题 ， 需 要 重新 修改 配置 文件 。 

[root@localhost ~]# netstat -tunlp | grep sendmail 

tcp 0 0 0.0.0.0:25 0050.02" LISTEN  1418/sendmail: ace 
配置 Sendmail 对 外 连接 


编辑 Sendmail 配 置 文件 ， 默 认为 Addr=127.0.0.1，Sendmail 服 务 无 法 对 外 连接 。 


[root@localhost ~]# vi /etc/mail/sendmail.cf 
# SMTP daemon options 
O DaemonPortOptions-Port-smtp,Addr-127.0.0.1, Name=MTA 
// 默 认 127.0.0.1 无 法 对 外 连接 
# SMTP client options 
#0 ClientPortOptions-Family-inet, Address=0.0.0.0 


测试 Sendmail 服 务 是 否 可 以 对 外 连接 ， 使 用 客户 端 telnet 方 法 测试 邮件 服务 器 ， 结 果 发 现 
Sendmail 服 务 无 法 对 外 连接 。 


C:\Users\jerry>telnet 192.168.233.222 25 
正 连 接 到 192 .168 .233 .222.. .无 法 开启 到 主机 的 连接 ， 在 端口 25 : 连接 失败 


要 将 Sendmail 对 外 连接 ， 必 须 将 Add=127.0.0.1 改 成 0.0.0.0。 


[root@localhost ~]# vi /etc/mail/sendmail.cf 
# SMTP daemon options 
O DaemonPortOptions-Port-smtp,Addr-0.0.0.0, Name-MTA //0.0.0.0 允许 对 外 连接 


Ec 


不 可 以 配置 邮件 主机 IP 地 址 ， 以 免 内 部 用 户 收 不 到 信件 。 
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修改 完毕 后 ， 必 须 重 新 启动 Sndmail 服 务 ， 配 置 文件 才 会 生效 ， 第 一 次 重新 启动 会 出 现 
Shutting down sendmail Fail 的 错误 信息 ， 不 过 再 重新 启动 一 次 就 不 会 出 现 此 信息 了 。 


[root@localhost ~]# service sendmail restart 


Shutting down sm-client: L O 1 
Shutting down sendmail: LO J 
Starting sendmail: L | 
Starting sm-client: LO J 


由 
i 


新 启动 Sendmail 服 务 后 ， 再 次 测试 ， 主 机 使 用 telnet 邮件 服务 器 的 耳 地 址 ， 出 现 Sendmail 
名 称 表 示 成 功 。 


[root@localhost ~]# telnet 192.168.233.222 25 

Trying 192.168.233.222... 

Connected to 192.168.233.222. 

Escape character is '^]'. 

220 localhost.localdomain ESMTP Sendmail 8.14.4/8.14.4; Sun, 4 Sep 2012 23:40:39 -0400 


客户 端 telnet sendmail 主 机 卫 地 址 ， 也 显示 连接 成 功 的 消息 。 


220 localhost.localdomain ESMTP Sendmail 8.14.4/8.14.4; Sun, 4 Sep 2012 23:40:15 
-0400 


配置 对 外 发 信 


配置 好 Sendmail 的 对 外 连接 后 ， 需 要 配置 邮件 服务 器 权限 ， 这 样 才 可 以 使 用 此 邮件 服务 器 
正确 地 对 外 发 信 ， 和 否则 会 发 生 Relaying denied. 


[root@mail ~]# vi /etc/mail/access 

# Check the /usr/share/doc/sendmail/README.cf file for a description 

# of the format of this file. (search for access db in that file) 

# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc 

# package. 

# 

# If you want to use AuthInfo with "M:PLAIN LOGIN", make sure to have the 
# cyrus-sasl-plain package installed. 


# 

# By default we allow relaying from localhost... 

Connect : localhost . localdomain RELAY 

Connect : localhost RELAY 

Connect :127.0.0.1 RELAY 

Connect : jerryit .idv.cn RELAY // 配 置 域名 
Connect:192.168.233.* RELAY // 配 置 主机 对 外 IP 地 址 或 网 段 


18.2 配置 邮件 地 址 名 称 


创建 好 邮件 服务 器 后 ， 外 面 的 用 户 要 发 送 邮 件 给 邮件 主机 内 的 用 户 ,在 @ 后 面 就 会 加 上 完 


228 


第 18 章 
Sendmail 一 一 发 送 邮 件 服务 


整 的 邮件 主机 名 例如 给 DNS 配置 MX 记录 为 mail 主 机 , 域名 为 jerryit.idv.cn, 示例 用 户 是 jerry, 
外 部 用 户 发 送 邮件 到 这 台 邮 件 服务 器 时 ， 收 件 者 就 必须 输入 【jery@mailjerryitidv.cn】， 如 
下 图 所 示 ，mail 是 邮件 主机 的 主机 名 ， 一 般 不 需要 显示 ， 通 常会 输入 【jerry@jerryit.idv.cn】， 
不 过 用 户 无 法 收 到 信 ， 原 因 在 于 【jerryitidv.cn】 不 是 可 以 接收 的 邮件 地 址 名 称 。 


|| xta» SED SEO TAD Bap 帮助 四 Lj 


ETENE o " 


s 2855 FE | 打印 Ld E 


jerry 
日 期 : — 2012408 84H 10:54 
PFA: jerryenail jerryit idv. cal 
test 


I 
要 配置 可 接收 的 邮件 地 址 名 称 为 【jerryitidvcn】 必须 修改 配置 文件 , 添加 邮件 地 址 名 称 。 


[root@localhost ~]# vi /etc/mail/local-host-names 
# local-host-names - include all aliases for your machine here. 


jerryit.idv.cn // 接 收 邮件 地 址 名 称 


使 用 上 述 方法 配置 完 后 ，@ 后 面 加 上 【mailjerryitidvcn】 就 无 法 再 收 到 信 了 ， 假 如 再 发 
送 邮件 就 会 出 现 如 下 的 错误 信息 。 不 过 配置 文件 内 可 添加 多 个 接收 邮件 的 地 址 , 建议 保留 两 个 
邮件 地 址 名 称 ,【mailjenmyitidvcn】 及 【jeryitidvcn]】。 


o me (Mx problem") 


在 CentOS 6.0 之 后 如 果 只 配置 了 【 jemyit.idv.en 】 邮 件 地 址 名 称 ， 不 会 发 送 错误 信息 ， 两 封 


邮件 都 能 收 到 。 


修改 完 配置 文件 后 ， 必 须 重 新 启动 Sendmail 服 务 ， 配 置 才 会 生效 。 


[root@mail ~]# service sendmail restart 


Shutting down sm-client: [evOK 4] 
Shutting down sendmail: [| ‘OK | 
Starting sendmail: EO] 
Starting sm-client: [ OK ] 


再 次 发 送 邮件 时 ， 邮 件 地 址 输入 【jerry@jermryitidvcn】， 这 样 就 可 以 正常 接收 到 邮件 了 ， 
如 下 图 所 示 。 
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| 文件 SBD SEV TAD 邮件 如 sarap | 


LER AE. | E 


| 
全 部 答复 £x 打印 


RPA: 了 

日 期 : 2z012 年 8 月 4 日 11:52 
WPA: jerry@jerryit. idv. cn 
主题 : test 

test 


18.3 配置 邮件 发 送 和 接收 附件 的 大 小 


接收 容量 过 大 的 邮件 会 导致 邮件 主机 运行 变 慢 ， 造 成 用 户 信箱 马上 爆满 ， 甚 至 导致 带宽 被 

占据 ， 若 遭 到 邮件 容量 过 大 的 恶意 攻击 时 ， 还 会 导致 网 络 瘫痪 ,这 样 就 需要 限制 邮件 发 送 或 接 

收 的 大 小 以 避免 故意 发 送 大 容量 邮件 的 情况 出 现 所 以 要 有 效 地 管理 信件 容量 大 小 Sendmail 
服务 可 以 配置 每 封 信件 发 送 或 接收 的 大 小 。 


修改 Sendmail 配 置 文 件 
编辑 Sendmail 配 置 文件 ， 将 MaxMessageSize 参 数 前 的 # 号 删除 ， 并 限制 配置 容量 大 小 ， 如 
限制 为 2MB。 


[rootemail ~]# vi /etc/mail/sendmail.cf 
# maximum message size 
O MaxMessageSize-2048000 // 默 认 未 限制 容量 


修改 配置 后 ， 必 须 重新 启动 Sendmail 服 务 ， 这 样 配置 才 会 生效 。 


[root@mail ~]# service sendmail restart 


Shutting down sm-client: [ OK ] 
Shutting down sendmail: bom S] 
Starting sendmail: Dror 1 
Starting sm-client: [ OK ] 


测试 信件 容量 


写 一 封 邮 件 来 测试 发 送 情 况 ， 如 果 出 现下 图 所 示 的 信息 ， 是 告知 你 的 邮件 容量 超过 2MB 
而 无 法 发 送 ， 这 样 就 表示 对 每 封 信件 容量 大 小 的 限制 成 功 。 


230 


第 18 章 
Sendmail 一 一 发 送 邮件 服务 


e 


BREA: [Jeny <jery@mailjenytidvcn> | RAR: [mam ”本 
RPA: flom@jenitidvcn G 
E 
EHBE 
回复 给 = FRERE 
mulfssnszem 4735KB |e ae 4735KB/ 50000 KB 
aa.. [2] 3 
EI fresi size PPR 厅 
Be) Wee | [enon =) SOE ares E meal 


OpenWebMail 信 息 警 告 邮件 容量 超过 2MB， 所 以 无 法 发 送 邮件 。 


lOpenWebMail ERROR 


HOR! 无 法 发 出 您 的 则 件 . 


juc a 
423NubhGNSt jq+y+ndJ£I+h2 WGR+irt 6vqD/nOrSo8qhO3F ShpzXmBcidaSZWIOBVF 1CUVH3 
Er oi APBXFPzEGeCeUipdOP3umQ22AhLiVsabvrjCnisvauzsfVAALA 

-— OPENVEBEATL, ATT 0. 50219137991349-— 


[<<< 552 5.2.3 Message exceeds maximun fixed size (2048000) 


tebe 


18.4 配置 邮件 账号 别名 
邮件 账号 的 别名 一 般 在 电子 邮件 不 想 对 外 公布 或 者 是 此 账号 为 公用 账号 的 情况 下 使 用 , 当 
用 户 离职 或 变更 职务 后 ， 可 将 该 别名 指定 到 新 的 用 户 账号 ， 此 后 当众 多 发 件 人 发 送 给 该 电子 邮 


件 账号 时 ， 信 件 会 转 给 新 的 用 户 账 号 ， 这 样 可 以 省 去 不 少 通知 的 时 间 。 下 面 介绍 几 种 别名 的 应 
用 方法 ， 可 根据 实际 情况 进行 配置 。 


单一 邮件 账号 ， 单 一 账户 别名 


此 方法 只 有 一 个 别名 对 应 一 个 账号 。 


编辑 /etc/aliases 配 置 文件 ， 输 入 方法 可 以 参考 配置 文件 内 的 示例 。 


[root@localhost ~]# vi /etc/aliases 


-中 间 省 略 .… 

info: postmaster 

marketing: postmaster 

sales: postmaster 

support: postmaster 

jerryit: jerry / /&& jerry 账户 别名 为 jerryit 


# trap decode to catch security attacks 
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decode: root 
# Person who should get root's mail 
#root: marc 


账户 别名 后 面 有 一 个 【 : | FS. 


将 电子 邮件 账户 别名 输入 完 后 ， 必 须 让 别名 生效 ， 这 样 账户 别名 才 会 生效 ， 若 有 错误 表示 
输入 有 错 ， 可 按 错误 信息 提示 解决 。 
[root@localhost ~]# newaliases 
/etc/aliases: 77 aliases, longest 10 bytes, 777 bytes total 


若 配置 好 账户 别名 后 ， 没 有 让 账户 别名 生效 ， 则 无 法 发 送 邮 件 ， 错 误 信 息 为 【550 User 
unknown], Aul FÉ. 


lOpenWebMail ERROR 


AM ! 无 法 发 出 您 的 邮件 . 
请 检查 暂 存 于 草稿 町 中 的 邮件 , 然后 两 重 发 一 次 


<<< 250-ETRN = 
<<< 250-AUTH GSSAPI DIGEST-MD5 CRAN-MD5 LOGIN PLAIN 

<<< 250-DELIVERBY 

<<< 250 HELP 

>>> MAIL FROM: <jerry@mail. Jerryit. idv: cn> 

<<< 250 2.1.0 <jerry@mail. jerryit.idv.cn>... Sender ok 
>>> RCPT TO:<jerryit@jerryit. idv. cn» 

K«« 850 5.1.1 <jerryit@jerryit. idv. cn>... User unknown 


使 用 其 他 邮件 账号 发 送 邮 件 测试 ， 收 件 人 输入 【jerryit@jermyitidvcn】， 输 入 完毕 后 ， 按 
[RŽ]. 


a8: fe 
xue| aman | feet s] MESE | as [ETE z maj 


查看 jerry 账 号 的 信箱 ， 可 以 看 到 一 封 发 送 给 jerryit@jerryit.idv.cn 的 信件 ， 如 下 图 所 示 ， 表 
示 成 功 。 


日 期 : Thu, 6 Sep 2012 05:50:31 40800 & 

发 件 人 : "tom" <tom@mailjeryitidy cn> By € 
PHA: jerryit@jerryit.idv.cn 

主题 : test 

test 


单一 邮件 账号 ， 多 个 账号 别名 
此 方法 是 多 个 别名 指定 一 个 账号 ， 这 里 配置 了 三 个 别名 指定 给 账号 jemry 使 用 。 
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jerry0822 


jerry710822 
编辑 /etc/aliases， 依 次 输入 ， 一 个 输入 错误 则 无 法 使 用 。 


[root@localhost ~]# vi /etc/aliases 


中间 和 省略.… 

jerryit: jerry // 依 次 输入 三 个 别名 
jerry0822: jerry 

jerry710822: jerry 


输入 完 账户 别名 后 ， 必 须 让 别名 生效 ， 依 次 寄 信 给 这 三 个 账户 别名 ， 若 三 封 信 都 收 到 表示 


配置 成 功 。 


[root@localhost ~]# newaliases 
/etc/aliases: 79 aliases, longest 10 bytes, 807 bytes total 


单一 账号 别名 ， 多 个 账号 


此 方法 适用 于 群 组 发 送信 件 ， 比 如 要 给 业务 部 门 发 送 一 封 信 , 将 部 门 所 有 账号 加 入 同一 别 


名 ， 则 收 件 者 收 到 信件 后 ， 只 会 看 到 是 发 送 给 该 部 门 的 信 。 


账户 别名 KS 
| jemayKen | 


依次 输入 要 加 入 该 别名 的 电子 邮件 账号 。 


[root@localhost ~]# vi /etc/aliases 


<- 中间 省 略 … 

sales: postmaster 

support: postmaster 

jerryit: jerry,mary,ken // 一 个 别名 三 个 账号 


输入 完 账户 别名 后 ， 必 须 让 别名 生效 ， 发 送 邮 件 给 账户 别名 jerryit 测 试 ， 查 看 三 


不 会 都 收 到 信 。 


[root@localhost ~]# newaliases 
/etc/aliases: 77 aliases, longest 14 bytes, 786 bytes total 


别名 账号 的 账号 清单 文件 


此 情形 用 于 过 多 账号 或 有 非 当 前 邮件 主机 的 账号 。 


别名 账号 清单 文件 名 
jerryit Mailaddr.list 


:个 账号 会 
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示例 中 在 根 目录 创建 别名 账号 列表 ， 名 称 为 mailaddrlist 输入 所 要 发 送 的 账号 ， 也 可 以 输 


入 非 当 前 邮件 主机 的 邮件 地 址 ， 输 入 完成 后 保存 退出 。 
[root@localhost ~]# vi /mailaddr.list 
jerry,ken, jerry710822@gmail.com // 账 号 清单 


编辑 /etclaliases， 内 容 以 include 载 入 。 


[root@localhost ~]# vi /etc/aliases 


info: postmaster 
marketing: postmaster 
sales: postmaster 
support: postmaster 
jerryit: ": include: /mailaddr.list" // 配 置 清单 别名 


账户 别名 输入 完 后 ， 必 须 让 别名 生效 。 发 送 一 封 信 给 账户 别名 jerryit， 测 试 外 部 信箱 可 不 
可 以 收 到 。 


[root@localhost ~]# newaliases 
/etc/aliases: 77 aliases, longest 25 bytes, 797 bytes total 


配置 别名 时 出 现 duplicate alias name 错 误 信 息 


若 使 别名 生效 时 ， 出 现 duplicate alias name 错 误 信息 ， 这 样 别名 就 无 法 生效 。 


[root@localhost ~]# newaliases 
/etc/aliases: line 90: sales... Warning: duplicate alias name sales 
/etc/aliases: 77 aliases, longest 25 bytes, 795 bytes total 


其 实 问 题 很 简单 ， 就 是 在 /etc/aliases 配 置 文件 里 ， 别 名 名 称 可 能 重复 ， 例 如 ，/etc/aliases 
里 有 个 别名 叫做 sales， 如 果 再 输入 相同 的 别名 ， 就 会 发 生 错 误 。 


[root@localhost ~]# vi /etc/aliases 


info: postmaster 

marketing: postmaster 

sales: postmaster // 有 两 个 sales 别名 
support: postmaster 

Sales: ":include:/mailaddr.list" 


18.5 配置 Sendmail 账 号 认证 
账号 认证 就 是 在 邮件 主机 中 加 入 身份 验证 的 机 制 。 以 SMTP 来 说 ， 原 来 的 设计 并 没有 身份 


验证 的 部 分 ， 只 要 符合 Mail Server 中 的 relay 配 置 ， 就 可 以 通过 Mail Server 发 送 。 当 使 用 者 不 在 
relay 配 置 范 围 内 的 时 候 ， 只 要 你 的 usermname 和 password 通 过 验证 ，Mail Server 就 允许 发 送 邮 件 。 
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安装 SASL 认证 软件 


账号 认证 功能 需要 安装 cyrus-sasl 软 件 ， 若 没有 安装 ， 请 使 用 yum 在 线 更 新 方法 安装 。 


[root@localhost ~]# rpm -qa |grep cyrus-sasl 
cyrus-sasl-devel-2.1.23-8.e16.x86 64 
cyrus-sasl-lib-2.1.23-8.e16.x86 64 
cyrus-sasl-gssapi-2.1.23-8.e16.x86 64 
cyrus-sasl-plain-2.1.23-8.e16.x86 64 
cyrus-sasl-ldap-2.1.23-8.e16.x86 64 
cyrus-sasl-ntlm-2.1.23-8.e16.x86 64 
cyrus-sasl-sql-2.1.23-8.e16.x86 64 
cyrus-sasl-md5-2.1.23-8.e16.x86 64 
cyrus-sasl-2.1.23-8.e16.x86 64 


修改 sendmail.mc 配 置 文件 


修改 sendmailmc 配 置 文件 后 ， 删 除 前 面 的 dn1， 就 可 以 生成 新 的 sendmailcf 文 件 。 


[root@localhost ~]# vi /etc/mail/sendmail.mc 

dnl 4 PLAIN is the preferred plaintext authentication method and used by 

dnl # Mozilla Mail and Evolution, though Outlook Express and other MUAs do 

dnl # use LOGIN. Other mechanisms should be used if the connection is not 

dnl # guaranteed secure. 

dnl # Please remember that saslauthd needs to be running for AUTH. 

dnl 4 

TRUST AUTH MECH (^EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN') dnl 

define (^confAUTH MECHANISMS', ~EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN') dnl 


DAEMON OPTIONS 的 Addr=127.0.0.1， 必 须 修改 为 0.0.0.0。 


[root@localhost ~]# vi /etc/mail/sendmail.mc 

dnl # The following causes sendmail to only listen on the IPv4 loopback address 
dnl 4 127.0.0.1 and not on any other network devices. Remove the loopback 

dnl # address restriction to accept email from the internet or intranet. 

dnl # 

DAEMON OPTIONS (^Port-smtp,Addr-0.0.0.0, Name-MTA') dnl 


生成 sendmail.cf 配 置 文件 


将 sendmail.mc 复 制 至 /usr/share/sendmail-cf/cf 目 录 下 ， 可 能 会 发 现 没 有 /usr/share/sendmail- 
cf/cfH3K 


[root@localhost ~]# cp /etc/mail/sendmail.mc /usr/share/sendmail-cf/cf 
Cp: cannot create regular file ~/usr/share/sendmail-cf/cf': No such file or directory 


车 没有 /usr/share/sendmail-cf/cf 目 录 ， 表 示 没 有 安装 sendmail-cf， 可 使 用 yum 在 线 更 新 方法 
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进行 安装 。 


[root@localhost ~]# yum install sendmail-cf 
Dependencies Resolved 


Package Arch Version Repository Size 


sendmail-cf i386 B-TS-R-B-T-eT5ET updates 306 k 
Updating for dependencies: 
sendmail i386 B-13:8-B-T- 81587 updates 624 k 


Transaction Summary 


Install 1 Package (s) 
Upgrade 1 Package (s) 
Total download size: 929 k 


安装 完 sendmail-cf 软 件 后 ， 再 次 生成 新 的 sendmail-cf 配 置 文件 ， 复 制 sndmailmc 配 置 文件 
Æ /usr/share/sendmail-cf/cf H 3K F o 


[root@localhost ~]# cp /etc/mail/sendmail.mc /usr/share/sendmail-cf/cf 


复制 好 配置 文件 后 ， 进 入 sendmail-cf 的 cf 目录 ， 使 用 scripts 生 成 新 的 sendmailcf 配 置 文件 。 


[root@localhost ~]# cd /usr/share/sendmail-cf/cf 

[root@localhost cf]# sh Build sendmail.cf // 生 成 新 的 sendmail .cf 

Using M4-/usr/bin/m4 

rm -f sendmail.cf 

/usr/bin/m4 ../m4/cf.m4 sendmail.mc > sendmail.cf || ( rm -f sendmail.cf && exit 1 ) 
echo "### sendmail.mc ###" >>sendmail.cf 

sed -e 's/*/# /' sendmail.mc >>sendmail.cf 

chmod 444 sendmail.cf 


在 使 用 新 的 配置 文件 前 先 将 旧 的 sendmail.cf 文 件 备份 ， 将 /usr/share/sendmail-cf/cf 文 件 目录 
下 的 sendmail.cf 文 件 复制 到 /etc/mail/ 目 录 。 
[root@localhost cf]# mv /etc/mail/sendmail.cf /etc/mail/sendmail.cf.old 
// 备 份 sendmail.cf 


[root@localhost cf]# cp sendmail.cf /etc/mail/sendmail.cf 
// 复 制 新 的 sendmail .cf 


重新 启动 SASL 及 Sendmail 服务 


所 有 配置 完成 后 ， 重 新 启动 Sendmail 及 SASL 服 务 ， 并 将 SASL 设 为 默认 启动 。 


[root@localhost cf]# service saslauthd start 

Starting saslauthd: E OE J 
[root@localhost cf]# chkconfig saslauthd on 

[root@localhost cf]# service sendmail restart 
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Shutting down sm-client: DOOR 
Shutting down sendmail: | 0K] 
Starting sendmail: (Ae. aE | 
Starting sm-client: TOK ] 


验证 SASL 是 否 有 误 


使 用 telnet 方 法 检查 ， 出 现 AUTH LOGIN PLAIN 表示 验证 成 功 。 


[rootelocalhost cf]# telnet localhost 25 

Trying 127.0.0.1... 

Connected to localhost.localdomain (127.0.0.1) . 

Escape character is '^]'. 

220 localhost.localdomain ESMTP Sendmail 8.13.8/8.13.8; Tue, 02 Sep 2012 19:22:52 -0400 
ehlo localhost 

250-localhost.localdomain Hello localhost.localdomain [127.0.0.1], pleased to meet you 
250-ENHANCEDSTATUSCODES 

250-PIPELINING 

250-8BITMIME 

250-SIZE 

250-DSN 

250-ETRN 

250-AUTH LOGIN PLAIN //Sendmail 有 验证 功能 

250-DELIVERBY 

250 HELP 


测试 客户 端 是 否 可 以 验证 


在 客户 端 测试 将 邮件 发 送 到 外 面 的 信箱 ， 如 果 没 有 选择 【我 的 服务 器 要 求 身份 验证 】 就 
会 发 生 错误 ， 表 示 配 置 成 功 ， 注 意 不 可 以 发 送 到 内 部 信箱 ， 否 则 不 会 起 到 身份 验证 功能 。 

选择 【工具 】【 账 户 】【 邮 件 ]， 单 击 所 要 认证 的 账号 ， 然 后 输入 账号 信息 ， 在 【 服 
务 器 】 选 项 中 ， 在 【发 送 邮 件 服务 器 】 下 色 选 【我 的 服务 器 需要 验证 】。 


wa 。 服务 器 | 连接 | 安全 |an | 

服务 器 信息 
我 的 邮件 接收 服务 器 是 由 ) fos RZB. 
ERSE: fuil jerryititre 
STW: fosil jerryit idv en 
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若 未 勾 选 【我 的 服务 器 需要 验证 】 则 该 账号 使 用 Outlook 软 件 发 送 邮件 时 会 出 现 服务 器 拒 
绝 信息 ， 无 法 寄 出 邮件 。 


企 ES) 
LS 2) 


ioe am, 
diei 1 ae Feriae fgiled 
安全 (sD: 再 Ri HA. 550, EAR 


BÆR 0 MES 此 1 项 
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Postfix 官 方 网 站 : http:/Avww.postfix.org/. 

Postfix 服务 是 一 个 快速 、 易 于 管理 、 安 全 性 高 的 邮件 发 送 程序 ， 而 且 能 很 好 地 兼容 
Sendmail 服 务 ， 主 要 是 为 了 让 原 有 的 使 用 者 操作 方便 ， 因 此 Postfix 服 务 的 外 部 运行 和 Sendmail 
服务 运行 一 样 ， 但 实际 上 内 部 是 完全 不 同 的 设计 。 


19.1 安装 Postfix 服 务 


下 面 介绍 如 何 配置 简易 的 Postfix 服 务 器 ， 其 安装 非常 简单 ， 经 过 一 些 基本 配置 ， 就 可 以 让 
邮件 服务 器 正常 发 送 邮件 。 


安装 Postfix 服务 


安装 Postfix 服 务 前 ， 应 检查 Postfix 服 务 是 否 安装 ， 其 实 从 CentOS 6.x 操 作 系 统 之 后 ， 系 统 
就 会 默认 安装 及 启动 ， 但 是 以 前 默认 安装 的 Sendmail 服 务 ， 现 在 则 必须 要 自行 安装 ， 下 面 的 操 
作 是 为 了 检查 Postfix 软 件 。 


[root@localhost ~]# rpm -qa | grep postfix 
postfix-2.6.6-2.1.e16 0.x86 64 


i nib ipsi i duit 或 是 想 要 更 新 到 最 新 的 Postfix 服 务 软件 ， 毕 竞 CentOS 光 可 
内 的 软件 不 一 定 是 最 新 版 本 ， 可 以 使 用 yum 在 线 更 新 方式 进行 安装 ， 既 方便 又 快速 。 


[root@localhost ~]# yum install -y postfix 
Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 
postfix x86 64 2:2.6.6-2.1.e16 0 updates 2.0M 


Transacti 
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Install 1 Package (s) 


Upgrade 0 Package (s) 
Total download size: 2.0 M 


配置 基本 Postfix 服 务 


CentOS 6.x 系 统 安 装 好 Postfix 服 务 后， 需要 做 几 项 配置 ， 才 可 以 正常 收发 信件 ， 以 下 几 个 
配置 是 在 安装 好 后 必要 进行 的 ， 尤 其 是 mydestination 和 inet_interfaces 参 数 ， 若 不 配置 就 无 法 收 
发 信件 。 

X myhostname: 这 个 参数 顾名思义 就 是 要 配置 计算 机 名 称 ， 不 过 这 里 需要 输入 的 是 

FQDN 完 整 名 称 ,而 不 只 是 计算 机 名 称 ， 所 谓 的 FQDN 就 是 计算 机 名 称 加 上 全 称 域名 。 


[root@localhost ~]# vi /etc/postfix/main.cf 

# The myhostname parameter specifies the internet hostname of this 

# mail system. The default is to use the fully-qualified domain name 

# from gethostname () . $myhostname is used as a default value for many 
# other configuration parameters. 


# 

#myhostname = host.domain.tld 

#myhostname = virtual.domain.tld 

myhostname = mail.jerryit.idv.cn // 配 置 完整 的 FQDN 


X mydestination: 这 个 参数 是 可 以 接受 收发 信件 的 域名 ， 在 该 行 最 后 面 添加 收发 邮件 的 
域名 ， 记 得 每 个 域名 之 间 需 要 加 上 【,】 分 隔 ， 这 样 才 可 以 正常 收发 信件 。 
[root@localhost ~]# vi /etc/postfix/main.cf 
# 
mydestination = $myhostname, localhost.$mydomain, localhost, jerryit.idv.cn 


#mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain 
#mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain, 


Mydestination 参 数 若 没有 配置 ， 则 会 无 法 发 送信 件 到 Internet 上 的 邮件 服务 器 ， 就 算 信件 勉 


强 发 送 ， 一 分 钟 以 内 就 会 收 到 一 封 主题 为 Undelivered Mail Returned to Sender 的 退 信 ， 无 法 将 
信件 寄 出 。 


THD SBD SSN TAC) wa) Sb 
$9 E ow 2 X 
Es tsss pe n5 o à» 
KA: vai Deivey System 
BM: 20123838 1-11 
SEA: empemtiim 
XBE Undeiverad at Reumedto Sender 
[EC EXE Bibssvey rei i 055 $B) 


iH TOR 


‘This ic the mail system at host local localdemain. 


Tro sony to have to inform you that your message could not 
be delivered to one or more recipiests I's attached below 


For further assistance, please send mad tc postmaster. 


Eyo do so, please include this problem report. You can 
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Mydestination 参 数 还 有 另 一 个 功能 ， 若 没有 配置 ， 先 不 考虑 是 不 是 可 以 对 外 开放 ， 假 如 发 
件 人 使 用 Outlook 之 类 的 软件 给 收 件 者 发 送信 件 ， 收 件 者 @ 后 面 的 后 级 就 必须 是 完整 的 FQDN， 
意思 就 是 说 发 送 邮件 给 收 件 者 时 需要 在 @ 后 输入 完整 的 FQDN， 收 件 者 才 可 以 收 到 信 。 

以 上 介绍 可 能 不 是 很 清楚 ， 下 面 举例 来 说 明 。 计 算 机 名 称 为 mail， 域 名 为 jerryitidv.cn， 
mydestination 没 有 配置 ， 在 发 送 邮 件 时 ，@ 后 级 则 必须 输入 mailjerryit.idv.cn， 在 mydestination 
配置 中 加 上 jerryitidv.cn， 再 次 发 送 邮 件 时 ，@ 后 的 后 级 只 要 输入 jerryitidv.cn 即 可 ， 而 非 
mailjeryitidvcn， 不 过 经 过 上 述 配 置 后 ， 发 送 邮件 时 ，@ 后 的 后 绥 若 输入 mailjerryitidv.cn， 
收 件 者 就 无 法 收 到 信件 所 以 为 了 避免 收 不 到 信 建议 在 mydestination 参 数 后 添加 这 两 个 域名 。 


EE 


& XQ 


X inet interfaces: 默认 配置 为 localhost， 所 以 只 会 处 理 本 机 网 络 界面 接收 的 信息 。 若 要 
处 理 所 有 网 络 界面 ， 必 须 将 inet_interfaces 由 默认 的 localhost 改 成 all。 


[root@localhost ~]# vi /etc/postfix/main.cf 

# The inet interfaces parameter specifies the network interface 

# addresses that this mail system receives mail on. By default, 

# the software claims all active interfaces on the machine. The 

# parameter also controls delivery of mail to user@[ip.address] . 

# 

# See also the proxy interfaces parameter, for network addresses that 
# are forwarded to us via a proxy or network address translator. 

# 

# Note: you need to stop/start Postfix when this parameter changes. 

# 

#inet_interfaces = all 

#inet_interfaces = $myhostname 

#inet_interfaces = $myhostname, localhost 

inet_interfaces = all / [SR 3 localhost, #404 all 


> ES 


文 里 不 可 以 配置 MAIL 主 机 耳 地址 ， 以 免 内 部 收 不 到 信件 。 


X inet protocols: 参数 默认 为 all， 所 以 可 以 同时 支持 IPv4 和 IPv6 协 议 。 


[root@localhost ~]# vi /etc/postfix/main.cf 
# Enable IPv4, and IPv6 if supported 
inet protocols - all // 默 认为 a11， 可 以 修改 为 ipv4 或 ipv6， 配 置 值 要 小 写 


Postfix 服 务 使 用 25 端 口 ， 除 了 IPv4 协 议 的 0.0.0.0 外 ， 还 会 有 IPv6 协 议 的 :::。 若 不 想 使 用 IPv6 
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协议 ， 可 以 将 配置 值 由 al 修改 成 pv4， 此 配置 可 根据 自己 需要 进行 修改 ， 重 要 性 并 不 大 。 


[root@localhost ~]# netstat -tunlp | grep 25 
tcp 0 00.0.0.0:25 0.0.0.0:* LISTEN 3297/master 
tcp DEOR Ego LISTEN 3297/master 


配置 防火 墙 


Postfix 服 务 默 认 使 用 的 端口 就 是 SMTP 的 端口 253， 在 防火 墙 配置 文件 中 开放 25 端 口 ， 允 许 
Postfix 服 务 开 放 对 外 连接 。 


[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT 
/ [Postfix 端口 

-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


修改 防火 墙 后 ， 必 须要 重新 启动 防火 墙 服 务 ， 配 置 才 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: [OK | 
iptables: Setting chains to policy ACCEPT: filter Ir | 
iptables: Unloading modules: Lt ox ] 
iptables: Applying firewall rules: IORI 


启动 Postfix 服 务 


确定 Postfix 服 务 及 防火 墙 配置 完成 后 ， 接 下 来 就 是 重新 启动 Postfix 服 务 ， 并 将 Postfix 服 务 
设 为 默认 开机 启动 ，CentOS 6.x 默 认 已 经 配置 为 启动 。 


[root@localhost ~]# service postfix restart 

Shutting down postfix: [OK] 
Starting postfix: [| 
[root@localhost ~]# chkconfig postfix on 


Postfix 服 务 启 动 后， 测试 Postfix 服 务 是 否 可 以 对 外 连接 ， 不 可 以 测试 PP 地址 127.0.0.1， 要 
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测试 对 外 连接 的 下 地 址 ， 信 息 中 显示 Postfix 代 表 可 以 正常 对 外 连接 。 


[rootelocalhost ~]# telnet 192.168.233.192 25 

Trying 192.168.233.192... 

Connected to 192.168.233.192. 

Escape character is '^]'. 

calhost.localdomain ESMTP Postfix // 代 表 正 常 对 外 连接 


192.168.233.192 为 Postfix 主 机 IP 地 址 ， 根 据 需求 环境 的 不 同 而 不 同 。 


19.2 配置 信箱 容量 


信箱 容量 是 给 予 用 户 可 以 存放 信件 的 空间 ， 因 为 服务 器 硬盘 容量 不 是 无 限 大 ， 就 算 硬盘 容 
量 很 大 ， 但 是 当 每 个 信箱 容量 都 很 大 时 ， 服 务 器 性 能 也 不 会 很 好 ， 所 以 有 效 地 限制 服务 器 用 户 
信箱 容量 ， 才 最 重要 。 


配置 信箱 容量 上 限 


Postfix 服 务 默认 信箱 容量 为 S0MB， 若 不 做 任何 配置 ， 当 用 户 信箱 容量 到 达 50MB 后 ， 就 会 
无 法 收 到 信件 ， 所 以 就 需要 配置 信箱 容量 上 限 ， 下 面 介绍 如 何 修改 信箱 容量 上 限 及 配置 无 容量 
限制 。 

例如 ， 限 制 信箱 容量 为 10OMB， 编 辑 Postfix 配 置 文件 ， 默 认 没 有 mailbox_size_limit 这 个 配 
置 参数 ， 需 要 自行 在 最 后 一 行 添加 。 

[root@localhost ~]# vi /etc/postfix/main.cf 


-中 间 省 略 .… 
mailbox size limit = 10240000 // 限 制 信箱 容量 为 10MB， 默 认为 SOMB 


如 果 想 要 信箱 容量 上 限 不 受 限 ， 将 mailbox _size_limit 参 数 配置 为 0， 则 信箱 容量 就 不 会 再 
受到 默认 50MB 的 限制 。 
[root@localhost ~]# vi /etc/postfix/main.cf 


中间 省 略 .… 
mailbox size limit = 0 //0 为 无 上 限 


以 上 两 种 示例 配置 完毕 ， 且 Postfix 配 置 文件 修改 后 ， 必 须要 重新 启动 Postfix 服 务 ， 配 置 才 
会 生效 。 


[root@localhost ~]# service postfix restart 
Shutting down postfix: [ox ] 
Starting postfix: [ OK ] 
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测试 信箱 容量 上 限 及 无 上 限 


当 信箱 容量 到 达 约 10MB 时 ， 看 看 是 否 可 以 再 发 送 邮件 给 该 收 件 者 ， 测 试 结 果 如 果 不 能 发 
送 ， 说 明 配 置 限制 10MB 容 量 成 功 。 


Dotted 新 邮件 邮件 ”大 小 
Wa Q 25 25 95MB 
LI NE mE NIU 
已 发 送 邮件 ”全 0 0 0 
sS Q 0 0 0 
Ba © BD dm 
imt © ü 0 0 
metu Q 6 d d 
总 计 2s 25 [Sang 


当 信箱 容量 超过 50MB， 看 看 是 否 可 以 继续 发 送 邮件 给 该 收 件 者 ， 测 试 结果 如 果 能 超过 
50MB， 代 表 信 箱 容量 可 以 超过 默认 的 50MB， 也 可 以 到 达 无 上 限 ， 如 果实 体 硬盘 空间 已 满 ， 
也 无 法 收 到 邮件 。 

默认 邮件 夫 新 邮件 邮件 ”大 小 

WR © 2 
a e 0 
已 发 送 邮 件 ©, o 
aaa Q 0 
m e 0 
gnata ©, 0 
WEL Q 0 


总 计 32 32 |50.1MB 


19.3 单 封 信件 容量 


现行 的 邮件 服务 器 不 管 发 送 或 接收 邮件 ， 通 常 都 会 限制 单 封 信件 的 容量 大 小 ， 最 常见 的 
Exchange Server 就 配置 了 单 封 信件 容量 , 配置 发 送 或 接收 的 信件 容量 大 小 可 以 避免 接收 容量 过 
大 的 邮件 ， 避 免 导致 邮件 服务 器 运行 性 能 不 佳 ， 连 带 使 局 域 网 带宽 受到 影响 ， 所 以 有 效 地 限制 
单 封 信件 容量 大 小 是 很 必要 的 。 


配置 单 封 信件 容量 上 限 


Postfix 服 务 可 以 配置 每 封 信件 发 送 或 接收 的 大 小 ， 需 要 编辑 Postfix 配 置 文件 ， 默 认 没有 配 
fimessage size limit 参 数 ， 必 须 在 最 后 一 行 添加 ， 例 如 ， 限 制 每 封 信件 的 大 小 为 2MB， 单 封 信 
件 容 量 可 根据 使 用 情况 而 定 。 


[root@localhost ~]# vi /etc/postfix/main.cf 
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-中 间 省 略 - 
message size limit = 2048000 // 信 件 容量 上 限 


修改 Postfix 配 置 文件 后 ， 必 须要 重新 启动 Postfix 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service postfix restart 
Shutting down postfix: [ OK ] 
Starting postfix: [ OK ] 


测试 单 封 信件 容量 上 限 


使 用 OpenWebMail 客 户 端 写 一 封 新 邮件 测试 ， 信 息 会 提示 邮件 容量 过 大 无 法 发 送 ， 这 样 就 
代表 限制 单 封 信件 容量 成 功 。 


E IET i d 


4 


G152L 1 aTeTOTGHOIBLYNF44 TK aYZVFZ? jensnt/7eRSATVhIe i ORnaSnFaFkL Gu TMT 434E 
am 


.DFEYVEREATL, ATT, 0. 974824634345 1 9-— 


irror: message file too big 


19.4 配置 邮件 账号 身份 验证 


以 SMTP 来 说 ， 原 来 的 设计 并 没有 所 谓 身份 验证 的 部 分 ， 只 要 符合 Mail Server 中 的 relay 配 
署 ， 就 可 以 通过 Mail Server 送 信 。 在 邮件 服务 器 中 加 入 身份 验证 的 机 制 ， 当 使 用 者 不 在 relay 配 
置 范围 内 的 时 候 ， 只 要 用 户 名 和 用 户 密码 通过 验证 ，Mail Server 就 可 以 发 送 邮件 。 


安装 SASL 认 证 软件 


要 使 用 账号 认证 就 必须 要 安装 SASL 认 证 软件 ， 否 则 无 法 使 用 身份 验证 功能 ， 配 置 前 先 检 
查 是 否 安 装 ，CentOS6.x 版 本 默认 自动 安装 。 


[root@localhost ~]# rpm -qa | grep cyrus-sasl 
cyrus-sasl-lib-2.1.23-8.e16.x86 64 
cyrus-sasl-gssapi-2.1.23-8.e16.x86 64 
cyrus-sasl-plain-2.1.23-8.e16.x86 64 
cyrus-sasl-2.1.23-8.e16.x86 64 


配置 Postfix 身 份 验 证 


安装 SASL 认 证 软件 后 ， 需 要 编辑 Postfix 配 置 文件 才 可 以 达到 身份 验证 功能 ， 需 要 将 以 下 
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配置 信息 添加 到 Postfix 配 置 文件 的 最 后 一 行 。 


[root@localhost ~]# vi /etc/postfix/main.cf 

<- 中间 省 略 …- 

smtpd sasl auth enable = yes 

smtpd sasl security options = noanonymous 

broken sasl auth clients - yes 

smtpd recipient restrictions - 

permit mynetworks,permit sasl authenticated,reject unauth destination 


启动 SASL 服 务 


Postfix 配 置 完毕 后 ，SASL 服 务 就 可 以 启动 了 ， 此 服务 与 Postfix 服 务 是 搭配 使 用 的 ， 所 以 
也 必须 要 配置 成 默认 启动 。 
[root@localhost ~]# service saslauthd start 


Starting saslauthd: [ OK ] 
[root@localhost ~]# chkconfig saslauthd on 


重新 启动 Postfix 服 务 


SASL 服 务 启 动 完毕 后 ， 由 于 修改 了 Postfix 配 置 文件 ， 所 以 必须 要 重新 启动 Postfix 服 务 ， 
这 样 配置 才 会 生效 。 


[root@localhost ~]# service postfix restart 
Shutting down postfix: [OK 
Starting postfix: [ OK ] 


验证 Postfix + SASL 服 务 


启动 Postfix 和 SASL 服 务 之 后 ， 必 须要 验证 配置 是 否 正常 ， 可 使 用 telnet 方 法 进行 验证 。 


[root@localhost ~]# telnet localhost 25 

Trying Sis 

Connected to localhost. 

Escape character is '^]'. 

220 localhost.localdomain ESMTP Postfix 

ehlo localhost // 验 证 是 否 正常 
250-localhost.localdomain 

250-PIPELINING 

250-SIZE 10240000 

250-VRFY 

250-ETRN 

250-AUTH PLAIN LOGIN // 出 现 此 两 行 代表 验证 成 功 
250-AUTH=PLAIN LOGIN 

250-ENHANCEDSTATUSCODES 
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ge 


250-8BITMIME 
250 DSN 


测试 客户 端 是 否 可 以 验证 


了 Postfix 和 SASL 服 务 正确 启动 验证 后 ， 接 下 来 就 是 配置 客户 端 ， 选 择 【 工 具 】?>【 账 户 】 
2 [fl 单 击 选择 所 要 认证 的 账号 ， 然 后 按 下 属性 ， 在 该 账号 属性 的 【服务 器 】 选 项 中 ， 
在 【发 送 邮 件 服务 器 】 下 勾 选 【我 的 服务 器 要 求 身份 验证 ]， 然 后 发 送 一 封 信 测 试 。 
@ jerryit_idv. cn EtÈ HE 
wa ”服务 器 | 连接 | 安全 | 高 级 | 
LIEU d MÀ 
我 的 邮件 接收 服务 器 是 an [fors 服务 器 。 
接收 邮件 OF5J GD): [eigeryitidecn ————— 
ASAS GWTP) W: [aail jerryit idv cn 


接收 邮件 服务 器 一 一 一 一 一 一 一 一 一 一 一 一 一 
*P&D: [jerry 
EBM: eeeeeees 


Iv 记 住 密码 如 


检查 邮件 日 志文 件 ， 若 勾 选 了 【我 的 服务 器 要 求 身份 验证 】 在 日 志文 件 内 可 以 看 到 
sasl method-LOGIN Xsasl username: El. 


[root@localhost ~]# cat /var/log/maillog 

Aug 13 09:52:16 localhost postfix/smtpd[5177]: connect from unknown [192.168.233.150] 
Aug 13 09:52:16 localhost postfix/smtpd[5177]: BOESBA1AEC: 

client=unknown [192.168.233.150], sasl method-LOGIN, sasl username-jerry 

Aug 13 09:52:16 localhost postfix/cleanup[5181]: BOESBA1AEC: 

message - id=<CB70B67D2E544739A87B9643B5515558@adminf4d1e38c8> 

Aug 13 09:52:16 localhost postfix/qmgr [5085]: BOESBA1AEC: from=<jerry@jerryit.idv.cn>, 
size=667, nrcpt=1 (queue active) 

Aug 13 09:52:16 localhost postfix/smtpd[5177]: disconnect from unknown [192.168.233.150] 
Aug 13 09:52:18 localhost dovecot: pop3-login: Login: user-«jerry», method-PLAIN, 
rip-192.168.233.150, lip-192.168.233.192, mpid-5187 

Aug 13 09:52:18 localhost dovecot: pop3 (jerry): Disconnected: Logged out top-0/0, retr-0/0, 
del-0/0, size-0 

Aug 13 09:52:19 localhost postfix/smtp[5182]: BOESBA1AEC: to=<jerry@gmail.com>, 
relay-gmail-smtp-in.l.google.com[74.125.91.26]:25, delay-2.8, delays-0.11/0.03/1.1/1.6, 
dsn-2.0.0, status-sent (250 2.0.0 OK 1318441948 h7si815275qct.156) 

Aug 13 09:52:19 localhost postfix/qmgr[5085]: BOESBA1AEC: removed 


如 果 未 勾 选 【我 的 服务 器 要 求 身份 验证 】 则 该 账号 使 用 Outlook 之 类 的 软件 发 送 邮件 时 ， 
可 能 会 出 现 服务 器 拒绝 信息 ， 无 法 发 送 邮件 。 
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Outlook Express 


ss wa | 


xL a 无法 发 送 邮件 。 被 拒 缮 的 电子 部件 地 址 是 “* 
pras 主题 test, E EP PO a Ci 198 


Jerry@gnail. com)... Relay denied IP name lool hitad 
[CET E m 2s EEG). E. RBW: 50, MA 


已 完成 0 MES Gt 1 项 ) E 


19.5 Sendmail 和 Postfix 的 切换 


邮件 服务 器 发 信 的 MIA 有 Sendmail 和 了 Postfix 两 种 ，Sendmail 算 是 历史 久远 的 一 款 ， 很 多 
Linux 默 认 就 会 启用 ，Postfix 为 后 起 之 秀 ， 比 Sendmail 更 注重 安全 性 ,但 并 不 是 Sendmail 不 好 用 ， 
如 果真 的 是 这 样 ， er eee 光盘 中 早 就 看 不 见 了 。 两 者 各 有 优点 和 缺点 ， 管 理 人 
员 可 在 两 者 之 间 自 行 取舍 。 

Sendmail 和 Postfix 切 换 方式 有 两 种 ， 第 一 种 是 System-switch-mail (图 形 界面 )， 第 二 种 是 
alternatives --config mta (文字 界面 )。 


System-switch-mail (图 形 界面 ) 


Red Hat Linux 7.3 使 用 redhat-switchmail 软 件 ，Red Hat Linux 9.0 和 Enterprise Linux 3 使 用 
redhat-switch-mail 软 件 ，Fedora Core 2 和 Red Hat Enterprise Linux 4 使 用 system-switch-mail 软 件 。 

首先 检查 是 否 安装 Sendmail 和 Postfix 服 务 ， 这 样 才 可 以 使 用 切换 工具 测试 。 

检查 是 否 安装 Sendmail， 确 定 已 正确 安装 并 配置 Sendmail。 


[root@localhost ~]# rpm -qa | grep sendmail 
sendmail-cf-8.14.4-8.e16.noarch 
sendmail-8.14.4-8.e16.x86 64 


检查 是 否 安装 Postfix， 确 定 已 正确 安装 并 配置 Postfix。 


[root@localhost ~]# rpm -qa | grep postfix 
postfix-2.6.6-2.1.e16 0.x86 64 


检查 是 否 安装 system-switch-mail 软 件 ， 确 定 已 正确 安装 system-switch-mail 软 件 。 


[root@localhost ~]# rpm -qa | grep system-switch-mail system-switch-mail-0.5.25-12.noarch 


CentOS 5.x 默 认 已 安装 system-switch-mail 软 件 。 
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System-switch-mail 已 经 很 久 没有 更 新 了 ， 不 过 低 版 本 软件 一 样 可 以 安装 到 CentOS 6.x, A 
前 测试 可 以 正常 使 用 。 


[root@localhost ~]# wget ftp://ftp.nluug.nl/pub/os/Linux/distr/startcom/AS-5.0.0/ 

os/i386/StartCom/RPMS/system-switch-mail-0.5.25-12.noarch.rpm 

<- 中间 省 略 … 

[root@localhost ~]# rpm -ivh system-switch-mail-0.5.25-12.noarch.rpm 

warning: system-switch-mail-0.5.25-12.noarch.rpm: Header V3 DSA/SHA1 

Signature, key ID 652e84dc: NOKEY 

Preparing... JHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE [100€] 
1:system-switch-mail JHEHEHEEIHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHRE [1003] 


: EE 


档案 来 源 http//rpm.pbone.net/index.php3/stat/A/idp/8191785/dir/startcom 5/com/system- 


switch-mail-0.5.25-12.noarch.rpm.html 


fili FH system-switch-mailU] f Mail transport agent, Jf ifti P & S zs Sendmail fll Postfix Jj £f 
MTA, 如 果 只 有 一 种 , 则 代表 其 中 一 种 MTA 未 正确 安装 , 请 重新 安装 , 输入 【system-switch-mail】 
命令 开启 工具 ， 打 开 界 面 后 红色 光标 指向 哪 一 种 MIA， 即 代表 目前 以 此 种 MTA 运 行 ， 选 择 其 
中 一 种 切换 MTA， 然 后 按 下 【Enter】 或 【OK ]。 


system-svitch-mail 
The Mail Transport Agent Switcher is a tool which 
enables users to easily switch between various 


Mail Transport Agent that they have installed. 


Please choose your Mail transport agent. 


Sendmail 
Postfix 


这 里 Sendmail 目 前 正在 启动 ，Postfix 停 用 , 检查 目前 状态 和 默认 启用 状态 。 检查 后 Sendmail 
目前 是 启动 状态 ， 默 认 也 为 启用 。 
[root@localhost ~]# service sendmail status// 查 询 Sendmail 运行 状态 
sendmail (pid 2045) is running... 


sm-client (pid 2053) is running... 
[root@localhost ~]# chkconfig --list sendmail // 查 询 Sendmail 默认 启动 状态 


sendmail Gro£f ed 2:00 3:on 4:on 5:on 6:off 


了 Postfix 目 前 停 用 ， 默 认 也 未 启用 。 


[root@localhost ~]# service postfix status // 查 询 Postfix 运行 状态 


master is stopped 
[root@localhost ~]# chkconfig --list postfix  // 查 询 Postfix 默认 启动 状态 
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service postfix supports chkconfig, but is not referenced in any runlevel (run 'chkconfig 
--add postfix') 


若 要 从 Sendmail 切 换 至 Posttix， 输 入 【system-switch-mail】 1TJFsystem-switch-mail L, 
红色 光标 目前 在 Sendmail 上 ， 将 光标 移 至 Postfix， 然 后 按 【OK】 切换 。 


system-switch-mail 
The Mail Transport Agent Switcher is a tool vhich 
enables users to easily switch between various 


Mail Transport Agent that they have installed. 


Please choose your Mail transport agent. 


Sendmail 


下 图 显示 MTA 已 正确 切换 ， 按 【OK】， 系 统 会 自动 启动 所 切换 的 MTA 服 务 ， 另 一 个 服务 
则 会 停 用 。 


| Information 


Your MTA configuration has succesfully 
been updated. 


切换 后 检查 目前 服务 启动 状态 ， 目 前 Sendmail 被 停 用 并 且 默 认 启动 状态 也 停 用 。 


[root@localhost ~]# service sendmail status // 查 询 Sendmail 运行 状态 

sendmail is stopped 

sm-client is stopped 

[root@localhost ~]# chkconfig --list sendmail  //f&il] Sendmail 默认 启动 状态 

Service sendmail supports chkconfig, but is not referenced in any runlevel (run 'chkconfig 
--add sendmail') 


了 Postfix 目 前 运行 状态 为 启动 并 且 已 配置 默认 启动 状态 。 


[root@localhost ~]# service postfix status / [fil] Postfix 运行 状态 
master (pid 2239) is running... 

[root@localhost ~]# chkconfig --list postfix // 查 询 Postfix 默认 启动 状态 
postfix 0:off 1:off 2:on 3:on 4:on 5:on 6:off 


实际 操作 过 后 ，system-switch-mail 工 具 会 自动 启动 停 用 服务 ， 并 将 启动 的 服务 配置 为 默认 
启动 ， 停 用 的 服务 停 用 所 有 默认 启动 。 


250 


第 19 章 
Postfix 一 一 发 送 邮 件 服务 


alternatives —config mta (文字 界面 ) 


使 用 文字 界面 切换 也 很 方便 ， 无 需 安装 ，MTA 切 换 只 能 切换 MTA 的 默认 启动 ， MTA 服 务 
状态 必须 自行 启动 停 用 ， 所 以 建议 尽量 使 用 System-switch-mail。 
[root@localhost ~]# alternatives --config mta 


There are 2 programs which provide 'mta'. 
Selection Command 


1 /usr/sbin/sendmail.postfix 
w+ 2 /usr/sbin/sendmail.sendmail 
Enter to keep the current selection[+], or type selection number: 


/ [5& Selection 数字 


不 管用 任何 方式 切换 ， 在 切换 完毕 后 ， 请 将 不 需要 的 MTA 服 务 停 用 ， 以 免 两 种 MITA 发 生 
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OpenWebMail 官 方 网 站 : http://openwebmail.acatysmoof.com/。 
OpenWebMail 试用 网 站 http://openwebmail.amcepl.net/cgi-bin/openwebmail/openwebmail.pl。 
使 用 默认 的 Demo 用 户 进 入 OpenWebMail 功 能 界面 。 


OpenWebMail 的 特点 
系统 部 分 
A 友好 的 用 户 界面 。 
多 国语 言 。 
A 多 图 显示 ， 多 种 模板 ， 自 定义 背景 。 
* 世界 时 区 切换 ， 支 持 夏 令 时 。 
3 多 种 认证 模块 (unix，pop3，mysql，postgres，ldap ) 同时 支持 PAM 认 证 。 
* 用 户 配 额 管理 模块 (quota unixfs, quota du )， 可 强制 清除 超过 配额 者 过 旧 的 邮件 或 文 


€ € «€ «€ € eee 


B. 

支持 虚拟 主机 /用 户 别名 。 

支持 虚拟 用 户 ( 能 使 用 pop3/webmail 功 能 ， 但 无 须 创建 unix 用 户 ). 
支持 多 个 网 段 ， 各 网 段 可 做 不 同 的 配置 。 

支持 配置 用 户 权 限 功 能 。 

支持 网 页 压缩 传送 ， 提 高 传输 效率 。 

在 线 更 改 密码 。 

用 户 历 史记 录 。 

配合 SpeedyCGI， 高 效 内 存 利用 技术 。 


邮件 列表 


u 


快速 切换 不 同 信箱 。 
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快速 换 页 功能 。 

可 按照 邮件 状态 、 邮 件 日 期 、 发 件 人 、 邮 件 标题 、 邮 件 大 小 排序 。 
可 以 配置 过 滤 条 件 ， 只 列 出 合乎 条 件 的 邮件 。 

新 邮件 语音 通知 。 

邮箱 变更 通知 ， 显 示 最 近 各 信箱 中 的 邮件 。 

变更 邮件 读 取 状 态 。 


邮件 读 取 


a 
a 
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与 Outlook 接 近 的 多 媒体 邮件 显示 功能 。 

多 种 字符 集 自动 转换 ( 如 简 繁 转换 、 日 文 Shif-IS/IISO-2022-JP/EUC-JP、 各 种 字 集 / 
UTF-8 ). 

可 收取 外 部 POP3 邮 件 。 

可 关闭 邮件 中 的 CGI 链接 ， 避 免 email 地 址 泄漏 。 

可 关闭 邮件 中 的 Javascript， 避 免 恶意 的 script 程 序 。 

可 将 HTML 邮件 转换 成 文字 格式 显示 ， 完 全 避免 HTML 病毒 。 
支持 已 读 回执 。 

支持 自动 回复 。 

支持 邮件 重组 功能 。 

邮件 中 的 附件 可 被 下 载 或 储存 到 网 络 硬盘 中 。 


邮件 撰写 


a 
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提供 HTML 邮 件 编写 功能 ， 可 内 识 图 片 、 声 音 、 表 格 ， 同 时 支持 Windows IE 与 所 有 平 
台 上 的 Mozilla。 

支持 通信 组 邮件 地 址 。 

支持 写 信 底 稿 。 

支持 暂时 保存 草稿 。 

支持 个 人 通信 与 公用 通信 薄 。 

拼写 检查 。 

可 动态 切换 邮件 内 容 字符 集 。 

可 选择 发 送 邮 件 字 符 集 。 

可 通过 本 机 或 外 部 主机 发 送 邮 件 。 

电子 邮件 中 的 附件 可 由 网 络 硬盘 添加 或 由 用 户 上 传 。 


邮件 过 滤 


a 


a 
a 
a 


可 定义 个 人 邮件 规则 与 公用 邮件 规则 。 
可 利用 外 部 程序 进行 病毒 扫描 。 

可 利用 外 部 程序 进行 垃圾 邮件 分 类 。 
支持 过 滤 重 复出 现 过 多 次 的 邮件 。 
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a 
a 
a 
a 


支持 过 滤 发 件 人 地 址 格式 不 正确 的 邮件 。 
支持 过 滤 擅 造 来 源 耳 地 址 邮件 。 

支持 过 滤 擅 造 发 信人 的 邮件 。 

支持 过 滤 擅 造 EXE 程 序 的 附件 。 


邮件 搜索 


a 
a 
a 
a 


可 针对 发 信人 、 收 信人 、 邮 件 主 题 、 邮 件 标 题 、 邮 件 内 容 、 附 件 名 称 进行 全 文 检索 。 
同时 搜索 多 个 邮箱 

支持 正则 表达 式 ( Regular Expression ). 

搜索 时 可 根据 需要 ， 自 动 进行 内 码 转换 后 再 进行 对 比 (eg: 以 简体 字 搜 寻 繁 体 邮件 )。 


邮件 管理 


a 
a 
a 
a 


邮箱 的 创建 / 重 命名 /删除 /下 载 。 
邮件 的 复制 /移动 /删除 /下 载 。 

重建 /修复 邮箱 索引 。 

自动 清除 垃圾 桶 内 N 天 以 上 的 邮件 。 


计划 任务 


a 


€ c cuu 


年 /月 / 周 /日 计划 任务 列表 。 

全 年 计划 任务 列表 。 

支持 个 人 计划 任务 与 公用 计划 任务 。 

可 配置 周期 性 计划 任务 。 

计划 任务 可 标明 色彩 。 

计划 任务 相关 Link 可 以 是 外 部 URL 或 是 OpenWebMail 中 出 现 的 任何 Link， 如 邮箱 中 的 
某 封 邮件 或 网 络 硬盘 上 的 某 个 文件 。 

与 电子 邮件 列表 主 画面 结合 ， 提 供 计划 任 务 提 醒 功 能 。 

计划 任务 提醒 也 可 以 发 送 给 外 部 邮件 地 址 ， 转 移 到 其 他 装置 上 。 


网 络 硬盘 


€ € € € «€ «€ € € «€ e 


以 用 户 home 目 录 作 为 网 络 硬盘 目录 。 

目录 与 文件 的 基本 操作 有 新 增 / 复 制 /移动 /删除 ( 包含 子 目录 )。 
文件 的 上 传 与 下 载 。 

多 文件 或 目录 下 载 ( 实时 压缩 文件 传输 )。 

文本 文件 在 线 编辑 。 

HTML 文件 实时 预览 (文件 不 一 定 在 public htm 下 ). 

创建 压缩 文件 /解压 缩 /内 容 列表 。 

图 片 位 图 功能 。 

文件 搜索 ， 可 搜索 文件 名 或 文字 内 容 。 

电子 邮件 中 的 附件 可 由 网 络 硬盘 添加 ， 也 可 储存 到 网 络 硬盘 中 。 
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20.1 安装 OpenWebMail 3.0 


OpenWebMail 的 安装 方式 有 别 于 以 往 ，OpenWebMail 2.53 版 可 以 使 用 yum 在 线 更 新 的 方式 
安装 ， 不 过 3.0 后 又 回 到 最 一 开始 的 源码 编译 安装 方式 ， 步 骤 也 变 得 比较 繁琐 ， 所 以 务必 都 不 
要 略 过 不 要 略 过 每 一 个 操作 ， 以 免 安 装 失败 。 

安装 OpenWebMail 前 必须 要 先 确认 已 安装 Dovecot 收 信 软 件 POP3 或 SMITP 和 发 信 软 件 
Sendmail 或 Postfix、Web 网 站 软件 Apache 等 服务 ， 把 它们 设置 为 默认 开机 启动 ， 并 在 防火 墙 配 
置 中 开启 相对 应 的 端口 25、80、110)， 所 有 都 确认 完成 后 ， 就 可 以 开始 安装 OpenWebMail 
必 备 软件 了 。 


安装 必 备 软件 


OpenWebMail 以 前 只 要 安装 Perl-Text-Iconv 即 可 ， 不 过 OpenWebMail 3.0 版 本 之 后 ， 必 须要 
安装 更 多 的 软件 ， 因 为 OpenWebMail 是 由 perl 语 法 写成 的 ， 所 以 除了 GCC 外 ， 大 部 分 的 软件 都 
与 perl 有 关 ，perl 的 软件 有 很 多 ， 基 本 上 我 们 只 要 安装 perl-CGI、perl-YAML、perl-CPAN、 
perl-suidper 1 即 可 ， 建 议 使 用 yum 在 线 更 新 方式 安装 ， 如 果 不 想 输入 太 多 命令 ， 可 以 直接 输入 
perl*， 其 实 很 多 初学 者 都 会 这 样 安装 ， 不 过 不 建议 这 样 做 。 


[root@localhost ~]# yum install -y gcc perl-Text-Iconv perl-CGI perl-YAML perl-CPAN 
perl-suidperl httpd 
Dependencies Resolved 


Installing: 

Geo x86_64 4.4.4-13.e16 base 10M 
Httpd x86 64  2.2.15-5.e16.centos base 811 k 
perl-CGI X86 64  3.49-115.e16 base 191 k 
perl-Text-Iconv x86 64  1.7-6.e16 base 22 k 
perl-YAML noarch  0.70-4.e16 base 81k 
perl-suidperl X86 64  4:5.10.1-115.e16 base 46 k 
Installing for dependencies: 

Apr x86 64  1.3.9-3.e16 0.1 updates 124k 
apr-util x86 64 1.3.9-3.e16 0.1 updates 87k 
apr-util-ldap x86 64 1.3.9-3.e16 0.1 updates 15 k 
cloog-ppl x86 64 0.15.7-1.2.e16 base 93 k 
cpp x86 64  4.4.4-13.e16 base 3.7 M 
glibc-devel x86 64  2.12-1.7.e16 0.5 updates 961k 
glibc-headers x86 64  2.12-1.7.e16 0.5 updates 592 k 
httpd-tools x86 64 2.2.15-5.e16.centos base 68 k 
kernel-headers x86 64 2.6.32-71.29.1.e16 updates 991 k 
mpfr x86 64 2.4.1-6.e16 base 157 k 
ppi x86 64 0.10.2-11.e16 base 1.3 M 
Updating for dependencies: 

glibc x86 64  2.12-1.7.e16 0.5 updates 3.7 M 
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glibc-common x86 64 2.12-1.7.e16_0.5 updates 14 M 
Transaction Summary 


Install 17 Package (s) 
Upgrade 2 Package (s) 
Total download size: 37 M 


安装 OpenWebMail 3.0 


安装 完 OpenWebMail 必 备 软件 后 ， 就 可 以 开始 安装 OpenWebMail 3.0 版 本 了 ， 其 安装 步骤 
和 以 前 的 版 本 不 太一 样 ， 需 要 编辑 源 代 码 文件 进行 安装 ， 所 以 千 万 不 要 遗漏 某 个 步骤 ， 尤 其 是 
权限 的 设置 ， 这 影响 到 是 否 可 以 安装 成 功 。 

此 安装 方式 参考 了 官方 的 Fedora 14 的 安装 方式 ， 有 些 步骤 不 一 样 ， 其 他 配置 基本 相同 。 

首先 创建 要 存放 OpenWebMail 压 缩 文件 的 目录 ， 解 压缩 后 会 将 相应 的 目录 拷贝 至 指定 目 
录 ， 所 以 建议 创建 一 个 目录 解压 缩 后 再 拷贝 ， 以 免 出 错 。 
[root@localhost ~]# mkdir /tmp/openwebmail // 创 建 openwebmail 压缩 文件 目录 


[root@localhost ~]# cd /tmp/openwebmail // 切 换 到 openwebmail 压缩 文件 目录 
[root@localhost openwebmail] # / /正确 切换 到 openwebmail 压缩 文件 目录 


使 用 wget 命 令 下 载 OpenWebMail 压 缩 文 件 ， 目 前 官方 网 站 有 有 两 个 压缩 文件 ， 一 个 是 beta 
版 本 ， 一 个 是 预 发 行 版 本 ， 不 过 建议 下 载 openwebmail-current.tar.gz 版 本 ， 此 文件 是 准备 发 行 的 
版 本 。 
[root@localhost openwebmail]# wget 
http: //openwebmail .acatysmoof . com/download/current/openwebmail-current.tar.gz 


openwebmail-current.tar.gz 5 3r 2 45 ARAN Sc HF 5K Ji A http://openwebmail.acatysmoof.com/ 


download/current/ 


下 载 完 成 后 ， 在 OpenWebMail 解 压缩 目录 中 解压 下 载 好 的 OpenWebMail 预 发 行 版 本 的 压缩 
文件 。 


[root@localhost openwebmail]# tar -xvzBpf openwebmail-current.tar.gz 


解压 OpenWebMail 压 缩 文 件 后 有 两 个 目录 ， 分 别 是 cgi-bin 及 data 目 录 ， 这 两 个 目录 内 都 会 
有 一 个 OpenWebMail 目 录 , 不 过 这 两 个 目录 的 内 容 不 一 样 ，cgi-bin 是 OpenWebMail 主 程序 ，data 
是 OpenWebMail 所 要 使 用 的 相关 图 片 或 软件 ， 先 将 cgi-bin 目 录 移 动 到 网 页 cgi 默 认 目 录 ， 接 下 来 
把 data 目 录 移 动 到 两 个 目录 中 ,不 过 解压 缩 后 只 有 一 个 data 目 录 ， 所 以 先 复制 再 移动 ， 先 将 data 
内 的 OpenWebMail 复 制 到 网 页 默认 路 径 ， 如 果 只 做 此 操作 ， 在 浏览 器 打开 OpenWebMail 后 ， 所 
有 图 片 都 不 会 显示 ， 最 后 再 将 data 目 录 移 动 到 /var/www 目 录 下 。 
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it: 


[root@localhost openwebmail]# mv cgi-bin/openwebmail /var/www/cgi-bin/ 
[root@localhost openwebmail]# cp -r data/openwebmail /var/www/html 
[root@localhost html]# mv data /var/www 


登录 时 若 出 现 Software error 错 误 信 息 ， 代 表 /var/www 下 没有 data 目 录 ， 未 将 压缩 文件 内 的 
data 目 录 移 动 至 /Var/www 目 录 ， 所 以 以 上 每 一 个 步骤 都 不 能 缺少 。 


Software error: 
/var/www/data/openwebmail/layouts/classic/templates/shared error.tmpl does 


not exist. No error messages can be displayed. at 
/var/www/cgi-bin/openwebmail/shares/ow-shared.pl line 1158. 

For help, please send mail to the webmaster (root@localhost) , giving this error 
message and the time and date of the error. 


确定 复制 完成 后 ， 先 进入 OpenWebMail 主 程序 网 页 目录 ， 然 后 将 OpenWebMail 解 压缩 目录 
删除 ， 也 可 以 在 完成 安装 后 再 删除 ， 以 免 有 遗漏 的 文件 。 


[root@localhost openwebmail]# cd /var/www/cgi-bin/openwebmail 
[root@localhost openwebmail]# rm -rf /tmp/openwebmail 


// 删 除 OpenWebMail 压缩 文件 
将 OpenWebMail 几 个 目录 内 的 pl 文件 权限 配置 为 777， 再 将 wrapsuid.pl 设 为 660， 一 定 要 配 
置 此 权限 ， 和 否则 会 无 法 打开 OpenWebMail 登 录 界 面 。 


[root@localhost openwebmail]# chmod 

777 ./misc/tools/wrapsuid/wrapsuid.pl ./misc/tools/wrapsuid/wrapsuid.pl 
/var/www/cgi-bin/openwebmail/openwebmail*.pl 

[root@localhost openwebmail]# chmod 660 ./misc/tools/wrapsuid/wrapsuid.pl 


将 OpenWebMail 主 程序 目录 下 的 pl 文件 权限 都 配置 为 4755， 不 要 怀疑 就 是 47551 
[root@localhost openwebmail]# chmod 4755 openwebmail*.pl 

再 将 suidperl 权 限 配 置 为 4555， 这 也 不 要 怀疑 就 是 4555! 若 没有 文件 可 以 配置 表示 没有 安 
装 perl-suidperl， 可 以 使 用 YUM 在 线 更 新 安装 方式 安装 ， 安 装 完成 后 ， 再 来 配置 权限 。 


[root@localhost openwebmail]# chmod 4555 /usr/bin/suidperl 


5 说 明 
如 果 没 有 配置 以 上 文件 权限 ， 可 能 会 出 现 Intermal Server Error 错 误 信息 


Internal Server Error 


The servet encountered an internal error or misconfiguration and was unable to complete your request. 


Please contact the server administrator, root@Jocalhost and inform them of the time the error occurred, and anything you might 
have done that may have caused the error. 


More information about this error may be available in the server error log. 


Apache/2.2.15 (CentOS) Server at 192.168.233.235 Port 80 


257 


CentOS 6.x 系统 管理 实战 宝典 


-E 


EER [LAT MAY MIR B A root 4 PRA ERR A GEM HE Ks /war/www/cgi-bin/ 


openwebmail/openwebmail pl ]， 表 示 没 有 对 /usrbin/suidperl 设 置 权限 。 


创建 OpenWebMail 的 日 志文 件 ， 并 设置 日 志文 件 权限 。 


[root@localhost openwebmail]# touch /var/log/openwebmail.log 
[root@localhost openwebmail]# chown root:mail /var/log/openwebmail.log 


复制 网 页 默认 目录 下 OpenWebMail 目 录 内 的 redirecthtml 至 网 页 索引 目录 ， 并 将 文件 名 修 
改 成 index.html， 此 文件 内 创建 了 快捷 访问 连接 ， 以 免 使 用 者 还 要 输入 太 长 的 网 址 。 


[root@localhost openwebmail]# cp -p /var/www/html/openwebmail/redirect.html 
/var/www/html/index.html 


接 下 来 编辑 OpenWebMail 配 置 文件 ， 要 设置 相关 目录 的 路 径 ， 一 般 要 修改 两 个 路 径 ， 分 别 
是 ow_cgidir 和 ow_htmldir，ow_cgidir 是 cgi 网 页 默认 目录 ，ow_htmldir 是 网 页 数据 目录 ， 目 前 两 
个 目录 都 在 /var/www 下 ， 所 以 可 进行 修改 。 


[root@localhost openwebmail]# vi etc/openwebmail.conf 

# This file sets options for all domains and all users. 

# To set options on per domain basis, please put them in sites.conf/domainname 
# To set options on per user basis, please put them in users.conf/username 

# 

# Please refer to openwebmail.conf.help for the description of each option 


# 
domainnames auto 
auth_module auth_unix.pl 
mailspooldir /var/mail 
ow_cgidir /var/www/cgi-bin/openwebmail 
//OpenWebMail 主 程序 路 径 
ow cgiurl /cgi-bin/openwebmail 
ow htmldir /var/www/data/openwebmail //OpenWebMail 数据 路 径 
ow htmlurl /openwebmail 
logfile /var/log/openwebmail.log 


将 身份 认证 配置 文件 复制 到 OpenWebMail 主 程序 目录 内 的 etc 目 录 下 。 
[root@localhost openwebmail]# cp etc/defaults/auth unix.conf etc/ 


修改 身份 认证 配置 文件 ， 只 修改 passwdfile_encrypted 及 passwdmkdb 参 数 ， 其 他 不 用 修改 。 


[root@localhost openwebmail]# vi etc/auth unix.conf 
# change smbpasswd 


# if this option is set to yes, openwebmail will also change the 
# smbpasswd after changing the unix password successfully 
passwdfile plaintext /etc/passwd 

passwdfile encrypted /etc/shadow 

passwdmkdb none 


将 dbm 文 件 复制 至 OpenWebMail 主 程序 目录 内 的 etc 目 录 下 。 
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[root@localhost openwebmail]# cp etc/defaults/dbm.conf etc/ 


更 新 dbm 配 置 文件 ， 修 改 dbmopen ext/£dbmopen haslock 参 数 ， 其 他 不 修改 。 


[root@localhost openwebmail]# vi etc/dbm.conf 
# dbmopen haslock 


# If your perl dbm system will do filelock in dbmopen () by itself, 

# set this option to 'yes' so openwebmail won't do unnecessary filelock 
# before dbmopen. On most systems, this option should be set to 'no'. 

# 

# ps: If your openwebmail hangs after login or saving preference, 

# you probablely need to set this option to 'yes' 


dbm_ext .db 
dbmopen ext .db 
dbmopen haslock no 


| 
若 CentOS 操 作 系统 按照 官方 步骤 安装 ， 就 会 发 生 错误 ， 无 法 初始 化 。 
[rootelocalhost openwebmail]# ./openwebmail-tool.pl --init 
Please change './etc/dbm.conf' from 
dbm ext .pag // 此 三 行为 官方 配置 Fedora 方式 ， 会 发 生 错误 
dbmopen ext none 
dbmopen haslock no 
to 
dbm ext 


// 必 须 修改 成 此 三 行 ， 初 始 化 才能 成 功 


db 
dbmopen ext .db 
dbmopen haslock no 
And execute './openwebmail-tool.pl --init' again! 
ps: If you are running openwebmail in persistent mode, 
don't forget to 'touch openwebmail*.pl', so speedycgi 
will reload all scripts, modules and conf files in --init. 


初始 化 OpenWebMail 服务 


- 切 配置 完成 后 ， 就 可 以 初始 化 OpenWebMail 服 务 了 ， 和 以 前 版 本 的 初始 化 方法 不 一 样 ， 
执行 命令 很 快 就 会 结束 ， 随 后 询问 是 否 显示 成 功 安装 信息 ， 可 根据 需求 配置 。 


[root@localhost openwebmail]# ./openwebmail-tool.pl --init 

creating db /var/www/cgi-bin/openwebmail/etc/maps/b2g ...done. 

creating db /var/www/cgi-bin/openwebmail/etc/maps/g2b ...done. 

creating db /var/www/cgi-bin/openwebmail/etc/maps/lunar ...done. 
Welcome to OpenWebMail! 

This program is going to send a short message back to the developers 

to give us statistics for future development. The content to be sent is: 
OS: Linux 2.6.32-71.e16.x86 64 x86 64 

Perl: 5.010001 

WebMail: OpenWebMail 3.00 beta4 20110808 revision 603 

Send the site report? (Y/n) y // 是 否 显示 成 功 安装 信息 
sending report... 

report sent successfully. 
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Show your support for OpenWebMail on Ohloh: 
http://www.ohloh.net/p/openwebmail 


初始 化 完成 后 ， 打 开 OpenWebMail 登 录 界 面前 先 执行 以 下 命令 ， 否 则 无 法 登录 ， 注 意 命令 
执行 后 ， 会 要 求 输入 【yes】 按 取 消 的 话 ， 再 次 执行 时 ， 就 要 一 行 一 行 回答 ， 大 约 需要 几 分 钟 
才能 完成 ， 完 成 后 重新 刷新 网 页 即 可 以 正常 使 用 。 


[root@localhost openwebmail]# perl -MCPAN -e 'install HTML::Template' 


以 下 错误 信息 需要 执行 【 perl -MCPAN -e ‘install HTML::Template' 命令 
Software error: 


Can't locate HTML/Template.pm in @INC (@INC contains: 
/usr/local/1ib64/perl5 /usr/local/share/perls 
/usr/lib64/perl5/vendor perl /usr/share/perl5/vendor perl 
/usr/lib64/perl5 /usr/share/perl5) at 


/var/www/cgi-bin/openwebmail/openwebmail-main.pl line 60. 

BEGIN failed--compilation aborted at 
/var/www/cgi-bin/openwebmail/openwebmail-main.pl line 60. 

For help, please send mail to the webmaster (root@localhost) , giving this 
error message and the time and date of the error. 


创建 邮箱 用 户 


登录 OpenWebMail 前 ， 由 于 新 创建 的 邮件 服务 器 没有 任何 的 用 户 可 以 登录 ， 所 以 必须 创建 
至 少 一 个 用 户 ， 才 可 以 测试 是 否 可 以 正常 登录 ， 这 里 创建 一 个 用 户 jery， 并 配置 密码 。 


[root@localhost openwebmail]# adduser jerry  ”// 新 增 用 户 jerry 


[root@localhost openwebmail]# passwd jerry // 配 置 新 用 户 密码 
Changing password for user jerry. 


New password: // 第 一 次 输入 密码 
BAD PASSWORD: it is too simplistic/systematic 
Retype new password: // 再 次 输入 密码 


passwd: all authentication tokens updated successfully. 


重新 启动 Apache 服 务 


OpenWebMail 安 装 完成 后 ， 由 于 一 部 分 设置 与 Apache 服 务 有 关 ， 建 议 重 新 启动 Apache 服 
务 ，OpenWebMail 服 务 才能 正常 使 用 。 
[root@localhost openwebmail]# service httpd restart 


Stopping httpd: [ oK 1] 
Starting httpd: [ OK ] 
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= 


使 用 OpenWebMail 登 录 


所 有 设置 就 绪 后 就 可 以 使 用 OpenWebMail 登 录 了 ， 由 于 创建 了 转 址 网 页 只 需 输 入 [http:/ 
网 址 或 下 地 址 】， 就 会 帮 你 转 至 OpenWebMail 登 录 画 面 ， 不 用 输入 【http:/ 网 址 或 下 地 址 


/cgi-bin/openwebmailopenwebmailpl】 这 么 长 的 网 址 。 输 入 刚 创建 的 邮箱 用 户 jerry， 输 入 用 户 
密码 后 ， 按 【登录 】。 


penwat bMail 版 本 3.00_beted RI 


第 一 次 登录 OpenWebMail 后 会 显示 欢迎 使 用 画面 ， 并 要 求 做 一 些 基本 的 配置 ， 按 【继续 】。 
欢迎 使 用 OpenWebMail! 


看 把 来 这 是 您 第 一 次 使 用 OperiW/ebMal， 所 以 找 们 需要 一 些 有 关 您 的 信息 来 设 定 OpenWebNai ABE MANNA > Hes MSE) 到 


OpenWebMal 设 定 屏幕 。 
ae 


OpenWekMai B 30D betas HA? 


在 【个 人 设置 】 中 设置 好 【夏令 时 时 间 】 和 【语系 】 就 可 以 先进 入 OpenWebMail， 其 他 配 
置 可 以 以 后 设置 。 


& go vens 


TARM 
US : [echo [18 CN] Jea: [aes] 
Ng: [390 $84 PEJ 
mui 


[oases] 
RBA : 站 rr rE 

LI 
enman: — — — F amen 


[IL du RUTEPETTTUN ECT 
ABARAT ES 500 475) 


our maii regarding 'ISURJECT! will be read when £ return. 


EET EE 45%) 


保存 OpenWebMail 个 人 设置 ， 按 【继续 】。 


个 大 设置 已 经 保存 
个 人 设置 保存 成 功 。 


EY 


Open WebMail 版 本 3.00. beta4 说 明 ? 
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进入 OpenWebMail 邮 件 信 箱 主 画面 ， 可 以 开始 使 用 信箱 了 ! 


9 &m ua gaze. 9 
ss J |a| alas [es eaj 
a *AHM- 发 件 人 E: J 大 本 三 


«n 


OperiWebMail E 300 beta4 KA? 


20.2 安装 OpenWebMail 2.53 版 本 


安装 OpenWebMail 2.53 版 本 前 必须 要 先 确认 已 安装 Dovecot 收 信 软 件 POP3 或 SMTP 和 发 信 
软件 Sendmail 或 Posttix、Web 网 站 软件 Apache 等 服务 ， 把 这 几 个 服务 设置 为 默认 开机 启动 ， 并 
在 防火 墙 配置 中 开启 相对 应 的 端口 (25、80、110)， 所 有 都 确认 完成 后 ， 就 可 以 开始 安装 
OpenWebMail 必 备 软件 了 。 


安装 perl-Text-lconv 


在 安装 OpenWebMail 软 件 前 ， 还 有 一 个 软件 要 安装 ， 那 就 是 perl-Text-Iconv， 此 软件 无 法 
使 用 YUM 在 线 更 新 方式 安装 ， 必 须 自行 下 载 ipm 进 行 安装 ， 下 载 完毕 后 ， 可 立即 安装 


perl-Text-Iconv. 


[root@localhost ~]# wget http://openwebmail.org/openwebmail/download/ 
redhat /rpm/packages/centos5/perl-Text-Iconv/i386/ 
perl-Text-Iconv-1.7-2.e15.i386.rpm 


-中间 省 略 … 

[root@localhost ~]# rpm -ivh perl-Text-Iconv-1.7-2.e15.1386.rpm 

Preparing... JHHEHEEIBHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE [100%] 
1:perl-Text-Iconv THHHEHHHHHHHHHHHHHHHHHHHHHBHHHHHHHHHHHHHE [1001] 


g % 明 


perl-Text-Iconv X: ft 来 源 为 http;//openwebmail.org/openwebmail/download/redhat/rpm/ 


packages/centos5/perl-Text-Iconv/o 


创建 openwebmail 使 用 yum 的 repo 


先 将 目录 切换 到 yum.repos.d 下 ， 利 用 lftpget 命 令 下 载 openwebmail.repo 文 件 ， 检查 有 没有 下 
常 下 载 openwebmailrepo 到 目录 内 。 


[root@localhost ~]# cd /etc/yum.repos.d 
[root@localhost yum.repos.d]# lftpget 


http: //openwebmail .org/openwebmail/download/redhat /rpm/release/openwebmail.repo 
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[root@localhost yum.repos.d]# 11 


total 44 

-rw-r--r-- 1 root root 1926 Feb 8 2011 CentOS-Base.repo 
-rW-r--r-- 1 root root 631 Feb 8 2011 CentOS-Debuginfo.repo 
-rw-r--r-- 1 root root 626 Feb 8 2011 CentOS-Media.repo 
-rw-r--r-- 1 root root 4663 Feb 8 2011 CentOS-Vault.repo 
-rw-r--r-- 1 root root 323 May 29 2008 openwebmail.repo 


使 用 YUM 安 装 OpenWebMail 


- 切 必 备 软件 安装 完成 后 ， 就 可 以 安装 OpenWebMail 软 件 了 ， 使 用 YUM 在 线 更 新 方式 进 
行 安装 ， 系 统 会 自动 安装 OpenWebMail 软 件 及 相关 软件 ， 如 openwebmail-data、perl 软 件 的 
perl-Compress-Zlib 及 perl-suidperl。 


[root@localhost ~]# yum install -y openwebmail / ['&& OpenWebMail 
Dependencies Resolved 


Package Arch Version Repository Size 


Installing: 


openwebmail i386 2.53-3 openwebmail 2.4M 
Installing for dependencies: 

openwebmail-data i386 2.53-3 openwebmail 7.3 M 
perl-Compress-Zlib i386 1.42-1.fc6 base 52k 
perl-suidperl i386 4:5.8.8-32.e15 6.3 updates 62 k 
Updating for dependencies: 

perl i386 4:5.8.8-32.e15_6.3 updates 12 M 


Transaction Summary 


Install 4 Package (s) 
Upgrade 1 Package (s) 
Total download size: 21 M 


如 果 无 法 输入 【 yum install openwebmail 】 安 装 的 话 ， 则 代表 /etc/yum.repos.d 中 没有 


openwebmailrepo 文 件 。 


初始 化 OpenWebMail 


安装 完 OpenWebMail 软 件 后 ， OpenWebMail 需 要 初始 化 才 可 以 使 用 ， 执行 一 下 命令 系统 就 
会 开始 初始 化 ， 初 始 化 完成 前 会 询问 是 否 要 将 信息 上 传 ， 基 本 上 都 是 按 y 同 意 。 
[root@localhost ~]# /var/www/cgi-bin/openwebmail/openwebmail-tool.pl --init 


creating db /var/www/cgi-bin/openwebmail/etc/maps/b2g ...done. 
creating db /var/www/cgi-bin/openwebmail/etc/maps/g2b ...done. 
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creating db /var/www/cgi-bin/openwebmail/etc/maps/lunar ...done. 
Creating UTF-8 locales... 

langconv ar AE.CP1256 -» ar AE.UTF-8 

langconv ar AE.ISO8859-6 -> ar AE.UTF-8 
langconv bg BG.CP1251 -» bg BG.UTF-8 

langconv ca ES.ISO8859-1 -» ca ES.UTF-8 
langconv cs CZ.1S08859-2 -> cs CZ.UTF-8 
langconv da DK.ISO8859-1 -> da DK.UTF-8 
langconv de DE.ISO8859-1 -» de DE.UTF-8 
langconv el GR.ISO08859-7 -> el GR.UTF-8 
langconv en US.ISO8859-1 -> en US.UTF-8 
langconv es AR.ISO8859-1 -» es AR.UTF-8 
langconv fi FI.ISO8859-1 -» fi FI.UTF-8 
langconv fr FR.ISO8859-1 -» fr FR.UTF-8 
langconv he IL.CP1255 -» he IL.UTF-8 

langconv hr HR.ISO8859-2 -» hr HR.UTF-8 
langconv hu HU.ISO8859-2 -> hu HU.UTF-8 
langconv id ID.ISO8859-1 -> id ID.UTF-8 
langconv it IT.ISO8859-1 -» it IT.UTF-8 
langconv ko KR.eucKR -» ko KR.UTF-8 

langconv lt LT.CP1257 -» lt LT.UTF-8 

langconv nl NL.ISO8859-1 -» nl NL.UTF-8 
langconv no NO.ISO8859-1 -» no NO.UTF-8 
langconv pl PL.I1S08859-2 -> pl PL.UTF-8 
langconv pt BR.ISO8859-1 -> pt BR.UTF-8 
langconv pt PT.ISO8859-1 -> pt PT.UTF-8 
langconv ro RO.ISO8859-2 -> ro RO.UTF-8 
langconv ru RU.KOI8-R -» ru RU.UTF-8 

langconv sk SK.I1S08859-2 -> sk SK.UTF-8 
langconv sl SI.CP1250 -» sl SI.UTF-8 

langconv sr CS.1S08859-2 -> sr CS.UTF-8 
langconv sv SE.ISO8859-1 -» sv SE.UTF-8 
langconv th TH.TIS-620 -» th TH.UTF-8 

langconv tr TR.ISO8859-9 -» tr TR.UTF-8 
langconv uk UA.KOI8-U -» uk UA.UTF-8 

= GONG 

Welcome to the OpenWebMail! 

This program is going to send a short message back to the developer, 
so we could have the idea that who is installing and how many sites are 
using this software, the content to be sent is: 
OS: Linux 2.6.18-238.e15 i686 

Perl: 5.008008 

WebMail: OpenWebMail 2.53 20080123 

Send the site report? (Y/n) y // 是 否 上 传 信息 
sending report... 

Thank you. 

[rootelocalhost ~]# 
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em 


创建 邮件 用 户 


登录 OpenWebMail 前 ， 由 于 新 创建 的 邮件 服务 器 没有 任何 的 用 户 可 以 登录 ， 所 以 必须 创建 
至 少 一 个 用 户 ， 测 试 是 否 可 以 正常 登录 ， 这 里 创建 一 个 用 户 jery， 并 配置 密码 。 


[root@localhost ~1]# adduser jerry // 新 增 用户 jerry 
[root@localhost ~1]# passwd jerry // 配 置 新 用 户 密码 


Changing password for user jerry. 

New password: // 第 一 次 输入 密码 
BAD PASSWORD: it is too simplistic/systematic 

Retype new password: // 再 次 输入 密码 


passwd: all authentication tokens updated successfully. 


重新 启动 Apache 服 务 


OpenWebMail 安 装 完 成 后 ， 由 于 一 部 分 设置 与 Apache 服 务 有 关 ， 建 议 重新 启动 Apache 服 
务 ，OpenWebMail 服 务 才能 正常 使 用 。 


[rootelocalhost ~]# service httpd restart 
Stopping httpd: 
Starting httpd: 


开始 使 用 OpenWebMail 2.53 


打开 浏览 器 ， 输 入 【 http//IP ER [d Ht /cgi-bin/openwebmail/openwebmail.pl 】， 
OpenWebMail 登 录 画 面 ， 输 入 新 创建 的 用 户 和 用 户 密码 登录 。 


TN 


se: [—— — 
28 [— —— 


下 图 为 


maan - 93 
[s] c Sand C SF 


ELEA 


AT 
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20.3 配置 域名 


OpenWebMail 默 认 设置 发 件 人 的 域名 ， 若 没有 配置 ， 默 认 取 本 机 名 称 localhost. 
localdomain， 这 样 发 送 过 去 对 方 也 看 不 出 来 ， 还 会 被 当 为 垃圾 邮件 。 


BEA: [ton <ton@localhost. localdomail> v] RAW: [BA 可 
路 fA: 


所 以 必须 配置 真正 的 域名 ， 默 认为 auto， 将 域名 auto 修 改 成 jerryitidv.cn。 


[root@localhost ~]# vi /var/www/cgi-bin/openwebmail/etc/openwebmail.conf 
# 

# Open WebMail configuration file 

# 

# This file contains just the overrides from defaults/openwebmail.conf, 

# please make all changes to this file. 

# 

# This file sets options for all domains and all users. 

# To set options on per domain basis, please put them in sites.conf/domainname 
# To set options on per user basis, please put them in users.conf/username 
# 

# Please refer to openwebmail.conf.help for the description of each option 
# 

domainnames jerryit.idv.cn // 默 认为 auto， 配 置 所 需 域名 


auth_module auth unix.pl 


配置 好 域名 后 ， 必 须要 重新 启动 Apach 服 务 才 可 以 生效 。 


[root@localhost ~]# service httpd restart 
Stopping httpd: [ OK ] 
Starting httpd: |i OE 


重新 进入 OpenWebMail， 就 会 挂 上 jerryit.idv.cn 的 域名 。 


RIFA: ["ton" <ton@jerryit. idv, cn 到 RAR: [着 v 
收 件 人 : 站 a 


20.4 更 换 邮 箱 Logo 


OpenWebMail 默 认 首页 图 片 Logo 如 下 图 所 示 ， 通 常 创建 好 后 ， 公 司 一 般 会 更 换 为 自己 的 
Logo， 以 显示 出 公司 的 特有 文化 。 
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RSH (- Esth 
要 型 | e fae Se 


OpenWebMail version 2 53 eBh? 


上 传 要 更 换 的 Logo 图 片 


使 用 WinSCP 工 具 将 更 换 的 Logo 上 传 到 OpenWebMail 程 序 的 images 目 录 下 ， 示 例 中 Logo 文 
件 名 为 jerry_it.gif。 

2.53 以 前 版 本 images 路 径 : /var/www/data/openwebmail/images/openwebmail.gif. 

3.0 版 本 images 路 径 : /var/www/html/openwebmail/images/system/openwebmail.png. 

OpenWebMail 2.53 版 本 需要 编辑 OpenWebMail 配 置 文 伟 在 logo_url 参 数 中 %ow_htmlurl% 
路 径 是 指 /var/www/data/openwebmail，logo 图 片 存放 路 径 是 images 目 录 里 ， 默 认 Logo 文 件 名 为 
openwebmail.gif。 这 里 Logo 文 件 名 为 jerry it.gif， 在 openwebmail.conf 配 置 文件 中 修改 为 
jerry_it.gif， 然 后 保存 退出 。 

[root@localhost ~]# vi /var/www/cgi-bin/openwebmail/etc/openwebmail.conf 


logo url sow_htmlurl%/images/jerry it.gif 
logo link http://openwebmail.org 


= B 
| %ow_htmlurl% 路 径 为 /Var/www/datao | 


3.0 版 本 不 需要 添加 logo_url 参 数 ， 只 要 将 图 片上 传 到 images 目 录 ， 并 将 文件 名 修改 成 
openwebmail.png， 重 新 刷新 页 面 即 会 加 载 图 片 ， 记 得 只 支持 png 图 片 格式 ， 其 他 不 支持 。 
重新 刷新 页 面 后 ， 首 页 Logo 图 标 就 会 出 现 示 例 Logo 的 图 片 ， 如 下 图 所 示 。 


Jem? XT MRA 


网 页 资料 自动 
d n 


OpenWebMail version 2.53 帮助 ? 
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修改 Logo 的 超 链接 
首页 Logo 图 示 有 一 个 超 链接 ， 默 认为 OpenWebMail 官 网 (http://openwebmail.org), HJÅ 
OpenWebMail 配 置 文件 中 自行 修改 链接 。 


[root@localhost ~]# vi /var/www/cgi-bin/openwebmail/etc/openwebmail.conf 
*ow htmlurl£&/images/openwebmail.gif 
// 修 改 连接 


logo url 
logo link http: //www.jerryit.idv.cn/jerry710822/ 


20.5 配置 附件 文件 容量 
电子 邮件 中 的 附加 文件 是 很 重要 的 一 环 , 不 过 附加 文件 太 大 对 邮件 主机 是 一 种 负荷 ， 通 常 
用 户 发 送 邮件 时 ， 附 加 文件 不 需要 很 大 ， 所 以 可 将 附加 文件 最 大 容量 配置 得 小 一 点 ， 
OpenWebMail 默 认 附加 文件 最 大 容量 为 50MB， 如 右 图 所 示 。 
附件 可 用 磁盘 空间 : 50000 Kb 


写 信使 用 字 集 [of * 


附加 文件 若 超 过 默认 的 50MB 容 量 ， 会 出 现 警告 信息 ， 如 右 图 所 示 。 


附件 已 达到 极限 - Findows Internet Explorer 
P about:blank 


添加 附件 文件 失败 。 


附加 文件 极限 大 小 50000 Kb 已 超过 了 。 


ET 


配置 附加 文件 容量 
编辑 OpenWebMail 配 置 文件 ， 修 改 attlimit 参 数 ， 配 置 附加 文件 最 大 容量 为 1IMB， 建 议 实 
际 附 加 文件 约 3~SMB 就 好 ， 再 大 就 对 邮件 服务 器 功能 存 影响 了 。 
[root@localhost ~]# vi /var/www/cgi-bin/openwebmail/etc/openwebmail.conf 
attlimit 10000 


新 加 入 附加 文件 ， 显 示 附 加 文件 的 最 大 容量 为 1OMB。 


由 


pen [  —— — —  SeWSBA- 


LL 22 ATMB WILL, xo gy 10000 
8 |e] 9 = 
EL arenes 
na| www] Beene |e z] arer: [ene DELLI 
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OpenWebMail 配 置 附加 文件 容量 ， 其 实 也 跟 Sendmail 及 Postfix 服 务 接收 的 邮件 容量 有 关 ， 
只 要 收发 邮件 服务 器 都 将 容量 配置 为 2MB， 不 管 附 加 文件 容量 配置 为 1IMB 还 是 更 大 ， 也 是 无 
法 发 送 的 ， 所 以 配置 完成 后 ， 记 得 检查 Sendmail 的 MaxMessageSize 参 数 及 Postfix 的 
message size limit 参 数 ， 以 免 无 法 发 送 邮件 。 


20.6 设置 个 人 配置 


OpenWebMail 的 个 人 配置 选项 ， 可 以 根据 个 人 喜好 进行 配置 ， 不 过 有 些 功能 若 不 让 用 户 使 
用 的 话 ， 就 必须 将 其 关闭 。 


编辑 OpenWebMail 配 置 文件 ， 默 认 参 数 都 为 yes， 若 要 设 为 不 显示 ， 可 将 yes 改 成 no， 这 样 
就 不 会 出 现在 个 人 配置 选项 中 ， 如 以 下 配置 所 示 ，OpenWebMail 3.0 配 置 文件 必须 自行 输入 ， 
以 下 为 参考 OpenWebMail 2.53 配 置 文件 。 


[root@localhost ~]# vi /var/www/cgi-bin/openwebmail/etc/openwebmail.conf 
AHHHEIHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE 

# Buttons : 

4 EditFroms | EditStationary | POP3Setup | ChangePassword | History | Info 
enable editfrombook yes 


enable stationery yes 
enable pop3 yes 
enable changepwd yes 
enable history yes 
enable about yes 


THHHEHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE 


A (rh f BPI TH E Je T LUE RC E T DERE TAS Dn SU RE SE RT 
enable editfrombook A Ie GE HUE ERRARE, MERE AER 
Api EO i Hh f 他 发 件 人 发 送 ， 不 过 发 送 的 邮件 还 是 通过 真正 用 户 发 送 的 ， 这 算是 

一 种 伪造 方式 
enable stationery 需要 大 量 回 信 ， 而 且 回复 相同 的 内 容 时 ， 可 以 预先 写 好 要 回信 的 内 
编辑 信纸 容 模板 ， 在 回信 时 选择 回信 和 底稿， 这样 就 可 以 节省 不 少 回信 时 间 
enable pop3 设 定 外 部 邮件 可 以 支持 用 户 收 取 其 他 POP3 邮件 主机 的 邮件 
enable changepwd 修改 密码 修改 邮件 用 户 密码 
enable history 历史 记录 记录 该 邮件 用 户 所 有 的 操作 记录 
enable about KF 关于 邮件 主机 的 系统 信息 ， 笔 者 建议 关闭 
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20.7 允许 用 户 root 登 录 


OpenWebMail 默 认 root 用 户 是 不 可 以 登录 的 。 其 实 很 多 系统 都 不 允许 使 用 root 用 户 操作 ， 
原因 是 root 权 限 太 大 了 ， 一 旦 被 知道 ， 安 全 性 就 会 受到 很 大 威胁 ， 不 过 提出 要 如 何 使 用 root 登 
录 ， 是 因为 很 多 系统 邮件 都 是 寄 给 root 用 户 的 ， 以 方便 用 户 读 取 邮 件 ， 其 实 可 以 手动 删除 ， 因 
此 建议 尽量 不 要 开启 root 用 户 登 录 。 


登录 失败 : 账号 或 密码 错误 。 
请 返回 然后 再 试 一 次 


OpenWebMail 版 本 3.00_beta4 说 明 ? 


配置 允许 root 用 户 登录 


编辑 OpenWebMail 配 置 文件 ， 最 后 一 行 添加 allowed_rootloginip 参 数 ， 将 其 设 为 all， 这 样 就 
可 以 允许 任何 下 地 址 使 用 root 用 户 登录 了 ,建议 将 all 改 成 允许 用 root 登 录 人 P 地 起 这 样 比较 安全 


[root@localhost ~]# vi /var/www/cgi-bin/openwebmail/etc/openwebmail.conf 
enable viruscheck no 


enable spamcheck no 
enable learnspam no 
allowed rootloginip all 
测试 root 用 户 登录 
测试 是 否 已 允许 root 用 户 登录 ， 正 常 登录 后 ， 在 新 邮件 中 就 可 以 看 到 发 件 人 为 root 用 户 。 
语言 [Chinese/China [zn ar] Z| 字符 集 |sb2312 v 
时 区 :| +0800 - 中 原 标准 :je 
夏令 时 节约 时 间 :[ 百 动 切 接 可 
发 件 人 :| “root”《root@jerryit.idv. ci? =] eg 
回复 给 : 
邮件 转发 到 : r Reeth 


自动 回复 : Eg fhis is an autoreply... [Re: 4SUBJECT] 


20.8 检查 日 志文 件 


管理 OpenWebMail 服 务 不 外 乎 就 是 检查 日 志文 件 ，OpenWebMail 日 志文 件 存放 路 径 为 
/var/log/openwebmail.log， 若 要 改变 日 志文 件 存放 路 径 ， 可 以 修改 OpenWebMail 配 置 文件 ， 在 
logfile 这 一 行 可 以 看 到 日 志文 件 存放 路 径 ， 可 以 依 需求 修改 。 
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[root@localhost ~]# vi /var/www/cgi-bin/openwebmail/etc/openwebmail.conf 
Li 


domainnames auto 

auth module auth unix.pl 

mailspooldir /var/mail 

ow cgidir /var/www/cgi-bin/openwebmail 
ow cgiurl /cgi-bin/openwebmail 

ow htmldir /var/www/data/openwebmail 

ow htmlurl /openwebmail 

logfile /var/log/openwebmail.log 


//OpenWebMail 日 志文 件 存放 路 径 


检查 OpenWebMail 日 志文 件 ， 输 入 【cat /var/log/openwebmail.log] ?r fi. iXffÉOpenWebMail 
可 以 清楚 了 解 是 如 何 运 作 的 。 


日 志文 件 中 很 多 参数 都 有 意义 ， 通 过 下 表 可 以 了 解 OpenWebMail 日 志文 件 常用 信息 。 

OpenWebMail 日 志文 件 说 明 

操作 说 明 操作 信息 

日 志 时 间 

用 户 登录 计算 机 IP 192.168.233.1 

用 户 登 录 login 

登录 用 户 jerry 

删除 到 垃圾 桶 clean trash 

移 到 邮件 move message 

清理 垃圾 桶 emptyfolder 

发 送 邮件 sendmessage 

用 户 注销 logout 

用 户 登录 失败 login error 

邮件 主题 subject- 

收 件 者 to= 
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SPAM 


垃圾 邮件 


电子 邮件 是 人 人 都 会 用 到 的 工具 , 每 天 打开 信箱 就 会 有 很 多 信件 , 不 过 真正 有 效 的 信件 只 
有 几 封 ， 其 余 大 多 都 是 垃圾 邮件 ， 对 垃圾 邮件 〈 英 语 为 spam) 现在 还 没有 一 个 非常 严格 的 定 
Xo 一 般 来 说 , 凡是 未 经 用 户 许 可 就 强行 发 送 到 用 户 邮箱 中 的 任何 电子 邮件 都 可 称 作 是 垃圾 邮 
件 。 垃 圾 邮件 一 般 具 有 批量 发 送 的 特征 ， 内 容 大 多 为 广告 信息 、 成 人 广告 、 商 业 或 个 人 网 站 广 
告 、 电 子 杂志 等 不 同 的 非 正式 信件 。 

为 避免 这 些 垃圾 邮件 , 就 必须 要 设置 邮件 过 滤 功 能 , 要 实现 邮件 过 滤 功 能 可 以 使 用 软件 或 
硬件 产品 , 不 过 硬件 邮件 过 滤 设 备 的 价格 比较 让 人 难以 接受 , 还 需要 技术 支持 费用 ,使 用 软件 
设置 邮件 过 滤 功 能 的 成 本 则 比较 低 , 不 过 要 靠 工 程 师 维护 。 下 面 介绍 如 何 过 滤 垃 圾 邮件 ， 设 置 
黑白 名 单数 据 库 ， 降 低 收 到 垃圾 邮件 的 机 率 。 


21.1 查询 自己 的 邮件 主机 是 否 被 当 作 垃圾 邮件 


如 今 使 用 电子 邮件 传递 信息 是 最 常用 的 通信 手段 ， 如 果 用 户 长 时 间 大 量 发 送 邮 件 ， 其 他 邮 
件 服务 器 很 容易 会 把 该 邮件 后 绥 列 入 垃圾 邮件 清单 ， 不 过 不 一 定 是 大 量 发 送 邮件 造成 的 有 可 
能 是 其 他 原因 ， 如 果 被 电子 邮件 服务 器 设置 到 黑 名 单 中 ， 用 户 往往 不 会 知道 。 当 用 户 收 不 到 应 
该 接收 的 邮件 时 ， 除 了 检查 电子 邮件 服务 器 外 ， 还 要 检查 域名 或 IP 地 址 是 不 是 在 垃圾 邮件 黑 名 
单 中 。 

查询 垃圾 邮件 黑 名单 ， 所 呈现 的 数据 有 可 能 不 一 样 ， 有 些 数据 库 会 是 黑 名 单 ， 有 些 却 不 是 
黑 名 单 ， 原 因 在 于 黑 名 单数 据 库 都 是 经 过 收集 的 ， 所 以 众多 黑 名 单数 据 库 不 是 每 个 都 会 被 列 入 
在 内 ， 不 过 若是 查询 很 多 黑 名 单数 据 库 都 是 名 列 榜 中 ， 则 域名 或 IP 地 址 被 当 作 黑 名 单 的 机 率 就 
特别 高 。 

下 面 介绍 三 个 常用 的 查询 网 址 ， 特 别 推荐 第 三 个 What Is My IP Address， 这 里 汇总 了 很 多 
黑 名 单数 据 库 ， 反 垃圾 邮件 信息 中 心 虽然 数据 少 ， 但 是 已 经 足够 各 个 公司 使 用 ， 只 要 输入 人 P 
地 址 ， 经 过 查询 就 会 出 现 测试 结果 ， 如 果 出 来 信息 为 已 加 入 垃圾 邮件 ， 则 代表 你 的 域名 或 PP 
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地 址 已 经 列 在 黑 名 单 之 中 ， 建 议 针对 域名 及 下 地 址 都 进行 查询 ， 因 为 有 时 查询 结果 不 一 样 。 

* MX Lookup Tool: http://www.mxtoolbox.com/index.aspx. 

输入 邮件 域名 ， 按 【MX Lookup】 即 可 以 查询 ， 所 呈现 的 数据 状态 为 红 的 话 ， 代 表 已 有 数 
据 库 将 该 域名 或 P 地 址 列 为 黑 名 单 。 


MX Lookup 


ABOUT MX LOOKUP 


This testwil st MX records for a domain in priority order. The Mx looku is cone drecty agansttha domain's suthorttve 
name servet, so changes to NX Records should show up instanfj. You can clik Cíagnostits , whith wil cornectto the mai 
‘server, vaily reverse DNS records, perm a simple Open Relay check and measure response time performance. You may 
also check each MX record (P Address) against 117 DNS based blackists . (Commonly called RALs, ONSBLs) 


X 反 垃 圾 邮件 信息 中 心 : http://iscbl.anti-spam.cn/search.php. 
此 查询 方式 不 能 输入 邮件 域名 ， 只 能 输入 人 P 地 址 。 


Ei Rr (信息 


sessions LT 


邮件 Ale 邮件 系统 移动 电邮 z it 坛 


CETTE EG 邮件 服务 器 查询 我 问 举 报 垃圾 邮件 
eee | ERNER TPA 
2 TSCRL 数据 库 中 


图 
日 一 二 三 四 歼 


邮件 服务 器 黑 名 单 查询 
4 PEG. LOSEGNERD. —HABPSSH, MR. cm. irit e 


RNC N TP 地 址 更 新 时 间 Sx 严重 等 级 | 申诉 
SEHE 1 SE! MICS RSSPARTERNIRARMRS to 


日 更 新 
Sawer 


* What Is My IP Address - Check to see if your IP is on a blacklist. 


http://whatismyipaddress.com/staticpages/index.php/is-my-ip-address-blacklisted 
MARAR, Ei aS A i A I EE | MRES ER. 
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D d Chock Blacklles 

Checking SQ aua RR Please wait a minute for the checks to complete 

Blacklist Status 

'& access rednawk org © b.barracudacentral org @oicsmabz 

€ blemaibasura org € bispamcamibalorg © bi spamcop.net 

© bitechnovision dk @ blackholes five-ten-sa com © blackholes wirehub net 
© biacktstsci.kun ni 网 block dnsbl sorbs net. © blocked hili dk 

@ bogons crmnucom © cat00ney sume com © chlabuseat ora 

& dev nulldk. © dialup backistjippg org © dialups mail-abuse.org 
© dialups visi com © ansbl arbi org. © ansbl antispam or id 
局 dnsbi cyberlogic net © dnsbl kempt net Œ dnsblnabloro 

© dnsblsorbs net © dnsbl 1 uceprolect net © dnsbl2.uceprolectnet 
回 dnsbt3 uceprotect net © cuir aupads org © aul ansbi sorbs net 
Odun © escalat ons dnsbi sorbs net 

@ hilhabeas.com © http dnsbl sorbs net © intruders. docs uu se 
& ips backscatierer org © korea sevices net © mail-abuse blacklistjippg org 
© misc dnsbi sorbs net © magid bigweep ca © new dnspl sorbs net 
© no-more-tum moensted dk @ old. dnsblsorbsnet © pbi spamhaus org 

© proxy blaweep.ca © psbisurriel com © pss spambusters.org ar 
© blschute org € blsnark net Du s 

© retays bigweep ca sisti dene vel de © relays maitabuse org 
@retays.nether net © rsblaupads org © sblspamhavs.og 


21.2 Postfix 使 用 SpamAssassin 过 滤 垃圾 邮件 


官方 网 站 : http://spamassassin.apache.org/index.html。 

SpamAssassin (SA) 利用 Perl 来 进行 文字 分 析 以 达到 过 滤 垃 圾 邮件 的 目的 。 它 使 用 大 量 
的 默认 规则 检查 信件 ， 这 些 规 则 会 检查 发 到 内 网 所 有 邮件 的 标题 、 内 文 以 及 送信 者 。 它 采取 的 
过 滤 方 式 是 累加 记分 制 ， 也 就 是 说 会 根据 我 们 所 配置 的 标准 来 给 予 判定 ， 当 分 数 超过 标准 值 的 
时 候 即 判定 为 SPAM (垃圾 邮件 )。2006 年 SpamAssassin 被 Linux 新 媒体 奖 (New Media Award) 
授予 “最 佳 的 基于 Linux 的 反 垃 圾 邮件 解决 方案 ”。 

SpamAssassin 使 用 多 种 方式 检测 垃圾 邮件 , 包括 垃圾 邮件 检测 、 邮 件 内 容 过 滤 、 外 部 程序 、 
黑 名 单 和 在 线 数据 库 等 。 

Postfix 使 用 SpamAssassin (MTA) 过 滤 垃 圾 邮件 比 使 用 Sendmail 更 方便 配置 ， 后 面 介 绍 的 
垃圾 邮件 及 病毒 信件 配置 都 与 此 章节 有 关 ， 若 都 要 使 用 ， 由 于 有 连贯 性 ， 建 议 确 实 做 到 每 个 步 
又 中 的 每 个 动作 都 不 要 略 过 ， 以 免 架 设 完成 后 有 问题 。 


安装 SpamAssassin 软 件 


CentOS 6.x 操 作 系统 默 认 不 会 安装 SpamAssassin 服 务 软 件 ， 所 以 必须 要 自行 安装 ， 由 于 
SpamAssassin 服 务 涉 及 许多 软件 ， 建 议 使 用 YUM 在 线 安 装 方式 ， 以 免 手 动 安装 有 遗漏 。 
[root@localhost ~]# yum -y install spamassassin // Z3 SpamAssassin 软件 


Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 
spamassassin x86 64 3.3.1-2.e16 base 1.1 M 
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Installing for dependencies: 


perl-Crypt-OpenSSL-Bignum x86 64 0.04-8.1.e16  base34 k 
perl-Crypt-OpenSSL-RSA x86 64 0.25-10.1.e16 base37 k 
perl-Crypt-OpenSSL-Random x86 64 0.04-9.1.e16  base22 k 
perl-Digest-HMAC noarch 1.01-22.e16 base22 k 
perl-Digest-SHA1 x86 64 2.12-2.e16 base49 k 
perl-Encode-Detect x86 64 1.01-2.e16 base80 k 
perl-IO-Socket-INET6 noarch 2.56-4.e16 basel7 k 
perl-IO-Socket-SSL noarch 1.31-2.e16 base69 k 
perl-Mail-DKIM noarch 0.37-2.e16 base121 k 
perl-MailTools noarch 2.04-4.e16 basel101 k 
perl-Net-DNS x86 64 0.65-2.e16 base232 k 
perl-Net-LibIDN x86 64 0.12-3.e16 base35 k 
perl-Net-SSLeay x86 64 1.35-9.e16 base173 k 
perl-NetAddr-IP x86 64 4.027-3.e16 base95 k 
perl-Socket6 x86 64 0.23-3.e16 base23 k 
perl-TimeDate noarch 1:1.16-11.1.0]6 base34 k 
portreserve x86 64 0.0.4-4.e16 base22 k 


Transaction Summary 


Install 18 Package (s) 
Upgrade 0 Package (s) 
Total download size: 2.2 M 


将 Postfix 配 置 为 MTA 


由 于 Postfix 服 务 使 用 SpamAssassin 功 能 ， 所 以 必须 将 Postfix 邮 件 服务 器 配置 为 MTA， 需 要 
编辑 Postfix 服 务 的 mastercf 配 置 文件 ， 此 配置 文件 规定 了 Postfix 服 务 运 行 参数 ， 在 配置 文件 内 
smtpd 参 数 后 面 添加 content_filter， 使 用 SpamAssassin。 

[root@localhost ~]# vi /etc/postfix/master.cf // 将 Postfix 配 置 为 MTR 


# Postfix master process configuration file. For details on the format 
# of the file, see the master (5) manual page (command: "man 5 master"). 


Do not forget to execute "postfix reload" after editing this file. 


# 
# 
# service type private unpriv chroot wakeup maxproc command + args 
# (yes) (yes) (yes) (never) (100) 

# 


smtp inet n - n - - smtpd  -o content filter-spamassassin 
#submission inet n  - n - - smtpd 

-中间 省 略 .… 

spamassassin unix - n n - - pipe user=nobody argv-/usr/bin/spamc -f -e 


/usr/sbin/sendmail -oi -f ${sender} -- ${recipient} 
// 将 上 面 的 信息 添加 到 文件 的 最 后 一 行 ， 此 段 为 一 行 ， 不 可 以 跳 行 


修改 Postfix 服 务 配 置 文件 后 ， 必 须 杂 


启动 Postfix 服 务 ， 配 置 才 会 生效 。 
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[root@localhost ~]# service postfix restart 
Shutting down postfix: [ ‘ox ] 
Starting postfix: [ OK ] 


生成 SpamAssassin 配 置 文件 


SpamAssassin 安 装配 置 完 成 后 ， 需 要 生成 SpamAssassin 服 务 的 localcf 配 置 文件 ，local.cf 配 
置 文件 是 定义 垃圾 邮件 的 标准 文件 ， 此 文件 可 以 自行 添加 参数 信息 ， 如 果 不 知道 如 何 定义 垃圾 
邮件 标准 ， 可 以 一 律 采 用 默认 值 ， 以 后 再 根据 运行 情况 修改 标准 。 也 可 以 到 SpamAssassin 
Configuration Generator 网 站 生成 ， 按 【Generate the Configuration File】 生 成 配置 文件 。 


SpamAssassin Configuration Generator 


SpamAssassin 3.x Version 


This tool is designed to make it easier to customize an installation of SpamAssassin with some common options After you answer the 
questions below, a SpamAssassin configuration flle matching your choices wil be displayed, and you can download it and use it with your 
SpamAssassin installation 


This is designed to work with SpamAssassin 3.x only It wil not work correctly with previous versions There 
is also a SpamAssassin 2 Sic version. If you are using a version later than 3.1, this may not work. Contact me 
for information about a newer version. 


Threshold and Report Options 


Score Threshold: Anything above the threshold is marked as spam Increasing this threshold wil increase the amount of spam 
missed, but wil reduce the risk of false positives. (required, score) 

© Low Threshold (5 0. delaut) 

(© Medium Threshold (7 5) 

© High Threshold (10.0) 


Rewrite Message Subjects? Choose whether SpamAssassin should add text at the beginning of the subject ine of suspected 
spam You can also change the text added to the subject (rewrite header) 
© Don't Rewrite Subjects (defaut) 


© Rewrite Subjects using text. "SPAM" 四 
生成 local.cf 配 置 文件 后 ， 可 以 利用 WinSCP 工 具 将 文件 上 传 到 /etc/mail/spamassassin 目录 。 


了 


| 本 地 中 标记 m NAO ATO SEC) WHO 运程 wahoo 
oUa- ASen p |S als - | oo iH “i$ 


192168233235| + | 


PR- SW 5184 Gp? |j oseeessessin EFISEM TEENS 


rakor|Docum: 


2012/9/7 1:22:12 
2012/9/1 1:22:12 
2010/8/23 10:28:32 


2010/8/23 10:28:31 


| sanassessin-defau. 


,., spamassassinchelpe. 35 B root 2010/8/23 10:28:31 
,.,Spamassassin-spamc rc S5 B root 2010/8/23 10:28:31 
|310. pre 2,524 B root 2010/8/23 10:28:31 
|, 312. pre 1,194 B root 2010/8/23 10:28:31 
,., 320. pre 2,416 B root 2010/8/23 10:28:31 " 


0B of 2492 BinDof 6 0B of 9098Bin Oo 11 
oo Bae [F r Mi 2375 Be) Gre 移动 Gert RAR X ro ds ors EU Fimo 退出 
B sms @ 00232 | 
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加 | 说明 | 
SpamAssassin Configuration Generator 3. 久 网 站 为 http://www.yrex.com/spam/spamconfig. 
phpo 


SpamAssassin Configuration Generator 2.5X j %4 75 http://www.yrex.com/spam/spamconfig25. 
phpo 


修改 SpamAssassin 配 置 文件 


将 local.cf 配 置 文件 上 传 至 邮件 服务 器 后 ， 首 先 检查 SpamAssassin 配 置 文件 的 内 容 ， 由 于 刚 
刚 生成 local.cf 文 件 ， 所 以 参数 值 都 为 默认 ， 如 果 不 了 解 参数 的 意义 ， 切 勿 随意 修改 ， 以 免 信 件 
被 判定 成 垃圾 邮件 ， 导 致 用 户 无 法 收 到 信件 。 


[root@localhost ~]# vi /etc/mail/spamassassin/local.cf 

# SpamAssassin config file for version 3.x 

# NOTE: NOT COMPATIBLE WITH VERSIONS 2.5 or 2.6 

# See http://www.yrex.com/spam/spamconfig25.php for earlier versions 
# Generated by http://www.yrex.com/spam/spamconfig.php (version 1.50) 
# How many hits before a message is considered spam. 


required_score 5.0 

# Encapsulate spam in an attachment (0-no, l=yes, 2=safe) 
report_safe 1 

# Enable the Bayes system 

use bayes 1 

# Enable Bayes auto-learning 
bayes_auto_learn 1 

# Enable or disable network checks 
Skip rbl checks 0 

use razor2 t 

use dcc Hs 

use pyzor 1 


* Mail using languages used in these country codes will not be marked 
# as being possibly spam in a foreign language. 

ok languages all 

# Mail using locales used in these country codes will not be marked 
# as being possibly spam in a foreign language. 

ok locales all 


SpamAssassin 服 务 配置 文件 的 参数 说 明 如 下 表 。 


参数 说 明 


设 定 一 个 邮件 被 判定 为 垃圾 邮件 的 分 数 线 ， 默 认为 5.0 分， 分 数 越 


人 高 ， 误 判 越 低 ， 分 数 越 低 ， 误 判 越 高 ， 依 需求 配置 


默认 为 1， 当 收 到 的 信件 被 判定 为 垃圾 邮件 时 ， 不 修改 原 信件 ， 而 


识别 邮件 文件 report safe 是 创建 一 个 新 的 报告 信件 ， 并 且 将 原 信件 作为 一 个 RFC 822 格式 
的 附件 附 上 ， 建 议 设 为 2， 原 信件 以 文本 方式 附加 到 报告 信件 中 
使 用 Bayesian 查询 use bayes 默认 为 1 启动 ，0 为 不 启动 ， 建 议 设 为 启动 
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CER) 


参数 说 明 

自动 学 习 bayes auto learn 默认 为 1 自动 学 习 ，0 为 不 学 习 ， 建 议 配置 自动 学 习 
使 用 RBL 查询 skip rbl checks 默认 为 1 使 用 RBLs 分析 ，0 为 不 学 习 

使 用 razor 查询 use razor2 默认 为 1， 必 须 安装 razor 

使 用 dcc 查 询 use dcc. 默认 为 1， 必 须 安装 dee 

使 用 dccpyzor 查询 use pyzor 默认 为 1， 必 须 安装 dccpyzor 

语言 设置 ok languages.ok locales | 默认 为 all， 接受 所 有 语言 


启动 SpamAssassin 服务 


SpamAssassin 配 置 完成 后 ， 需 要 将 SpamAssassin 服 务 启 动 , 由 于 SpamAssassin 是 搭配 Postfix 
服务 使 用 的 ， 所 以 也 将 其 设 为 系统 默认 启动 


[root@localhost ~]# service spamassassin start//spamAssassin 服务 启动 
Starting spamd: [ OK ] 


[root@localhost ~]# chkconfig spamassassin on //SpamAssassinm 默认 启动 


测试 SpamAssassin 的 功能 


SpamAssassin 正 确 启动 后 ， 首 先 测试 它 扫 描 垃圾 邮件 的 能 力 ， 进 入 SpamAssassin 模 板 文 件 
目录 ， 可 以 利用 SpamAssassin 服 务 的 两 个 模板 测试 sample-nonspam.txt 及 sample-spam.txt， 
sample-spam.txt 为 垃圾 邮件 的 模板 ，sample-nonspam.txt 为 非 垃圾 邮件 模板 。 


[root@localhost ~]# cd /usr/share/doc/spamassassin* 


/ [EN spamassassin 目录 


[root@localhost spamassassin-3.3.1]# 


“*” 号 表示 版 本 号 ， 若 您 不 知 安装 的 是 哪个 版 本 就 可 以 输入 一 个 “* ”号 ， 让 系统 去 


识别 。 


首先 测试 垃圾 邮件 sample-spam.txt 模 板 ，SpamAssassin 的 localcf 配 置 文件 默认 分 数值 为 
5.0， 超 过 此 分 数 即 判 断 为 垃圾 邮件 ， 此 模板 内 容 垃圾 邮件 指数 约 为 1000， 经 SpamAssassin 检 
测 ， 测 试 结果 高 达 1000.0， 说 明 判 断 垃 圾 邮件 功能 配置 生效 ，SpamAssassin 垃 圾 邮件 处 理 能 
也 就 没 问 题 。 


[root@localhost spamassassin-3.3.1]# spamassassin --test-mode sample-spam.txt 
Sep 20 19:54:50.879 [2000] warn: config: created user preferences file: 
/root/.spamassassin/user prefs 
Received: from localhost by localhost.localdomain 

with SpamAssassin (version 3.3.1) ; 


278 


第 21 章 


SPAM 一 一 垃圾 邮件 


Tue, 20 Sep 2011 19:54:52 -0400 

From: Sender <sender@example.net> 

To: Recipient <recipient@example.net> 

Subject: Test spam mail (GTUBE) 

Date: Wed, 23 Jul 2003 23:30:00 +0200 

Message-Id: <GTUBE1.1010101@example.net> 

X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on 

localhost .localdomain 

X-Spam-Flag: YES 

X-Spam-Level: AGG II GSI ISIS II IIIT III I III 

X-Spam-Status: Yes, score-1000.0 required-5.0 tests-GTUBE,NO RECEIVED, 

NO RELAYS autolearn-no version-3.3.1 

MIME-Version: 1.0 

Content-Type: multipart/mixed; boundary-"---------- =_4E7927CC.6BE91BD9" 

This is a multi-part message in MIME format. 

=_4E7927CC.6BE91BD9 

Content-Type: text/plain; charset=iso-8859-1 

Content-Disposition: inline 

Content-Transfer-Encoding: 8bit 

Spam detection software, running on the system "localhost.localdomain", has 

identified this incoming email as possible spam. The original message 

has been attached to this so you can view it (if it isn't spam) or label 

similar future email. If you have any questions, see 

@@CONTACT_ADDRESS@@ for details. 

Content preview: This is the GTUBE, the Generic Test for Unsolicited Bulk Email 
If your spam filter supports it, the GTUBE provides a test by which you can 
verify that the filter is installed correctly and is detecting incoming spam. 
You can send yourself a test mail containing the following string of characters 
(in upper case and with no white spaces and line breaks) : [...] 

Content analysis details: (1000.0 points, 5.0 required) 

pts rule name description 


-0.0 NO RELAYS  Informational: message was not relayed via SMTP 
1000 GTUBE BODY: Generic Test for Unsolicited Bulk Email 
-0.0 NO RECEIVED Informational: message has no Received headers 
cec - 4E7927CC.6BE91BD9 

Content-Type: message/rfc822; x-spam-type-original 
Content-Description: original message before SpamAssassin 
Content-Disposition: inline 

Content-Transfer-Encoding: 8bit 

Subject: Test spam mail (GTUBE) 

Message-ID: <GTUBE1.1010101@example.net> 

Date: Wed, 23 Jul 2003 23:30:00 +0200 

From: Sender <sender@example.net> 

To: Recipient <recipient@example.net> 

Precedence: junk 

MIME-Version: 1.0 

Content-Type: text/plain; charset-us-ascii 
Content-Transfer-Encoding: 7bit 

This is the GTUBE, the 
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Generic 
Test for 
Unsolicited 
Bulk 

Email 

If your spam filter supports it, the GTUBE provides a test by which you 

can verify that the filter is installed correctly and is detecting incoming 

Spam. You can send yourself a test mail containing the following string of 

characters (in upper case and with no white spaces and line breaks) : 

XJS*CAJDBQADN1 . NSBN3*2IDNEN*GTUBE- STANDARD-ANTI -UBE-TEST-EMAIL*C.34X 

You should send this test mail from an account outside of your network. 

0 =_4E7927CC.6BE91BD9-- 

Spam detection software, running on the system "localhost.localdomain", has 

identified this incoming email as possible spam. The original message 

has been attached to this so you can view it (if it isn't spam) or label 

similar future email. If you have any questions, see 

GGCONTACT ADDRESSG@@ for details. 

Content preview: This is the GTUBE, the Generic Test for Unsolicited Bulk Email 
If your spam filter supports it, the GTUBE provides a test by which you can 
verify that the filter is installed correctly and is detecting incoming spam. 
You can send yourself a test mail containing the following string of characters 
(in upper case and with no white spaces and line breaks) : [...] 

Content analysis details: (1000.0 points, 5.0 required) 

// 默 认 5.0， 分 数 超过 1000， 判 断 为 垃圾 邮件 
pts rule name description 

-0.0 NO RELAYS  Informational: message was not relayed via SMTP 

1000 GTUBE BODY: Generic Test for Unsolicited Bulk Email 

-0.0 NO RECEIVED Informational: message has no Received headers 


其 次 测试 非 垃圾 邮件 sample-nonspam txt 模板， 经 SpamAssassin 检 测 ， 此 模板 内 容 不 符合 垃 
圾 邮件 的 条 件 ， 测 试 结果 数值 为 0， 代 表 SpamAssassin 没 有 误 判 。 以 前 的 版 本 同一 个 模板 检测 
出 来 数值 不 一 定 为 0， 虽 然 不 会 超过 默认 值 5， 但 还 是 有 可 能 被 误 判 的 。 


[root@localhost spamassassin-3.3.1]# spamassassin --test-mode sample-nonspam.txt 
Return-Path: <tbtf-approval@world.std.com> 
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on 
localhost .localdomain 
X-Spam-Level: 
X-Spam-Status: No, score=-0.0 required=5.0 tests=T_RP_MATCHES RCVD 
autolearn-ham version-3.3.1 
Delivered-To: foo@foo.com 
Received: from europe.std.com (europe.std.com [199.172.62.20]) 
by mail.netnoteinc.com (Postfix) with ESMTP id 392E1114061 
for <foo@foo.com>; Fri, 20 Apr 2001 21:34:46 +0000 (Eire) 
Received: (from daemon@localhost) 
by europe.std.com (8.9.3/8.9.3) id RAA09630 
for tbtf-outgoing; Fri, 20 Apr 2001 17:31:18 -0400 (EDT) 
Received: from sgi04-e.std.com (sgi04-e.std.com [199.172.62.134]) 
by europe.std.com (8.9.3/8.9.3) with ESMTP id RAA08749 
for <tbtf@facteur.std.com>; Fri, 20 Apr 2001 17:24:31 -0400 (EDT) 
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Received: from world.std.com (world-f.std.com [199.172.62.5]) 

by sgi04-e.std.com (8.9.3/8.9.3) with ESMTP id RAA8278330 

for <tbtf@facteur.std.com>; Fri, 20 Apr 2001 17:24:31 -0400 (EDT) 
Received: (from dawson@localhost) 

by world.std.com (8.9.3/8.9.3) id RAA26781 

for tbtf@world.std.com; Fri, 20 Apr 2001 17:24:31 -0400 (EDT) 
Received: from sgi04-e.std.com (sgi04-e.std.com [199.172.62.134]) 

by europe.std.com (8.9.3/8.9.3) with ESMTP id RAA07541 

for <tbtf@facteur.std.com>; Fri, 20 Apr 2001 17:12:06 -0400 (EDT) 
Received: from world.std.com (world-f.std.com [199.172.62.5]) 

by sgi04-e.std.com (8.9.3/8.9.3) with ESMTP id RAA8416421 

for <tbtf@facteur.std.com>; Fri, 20 Apr 2001 17:12:06 -0400 (EDT) 
Received: from [208.192.102.193] (ppp0c199.std.com [208.192.102.199]) 

by world.std.com (8.9.3/8.9.3) with ESMTP id RAA14226 

for «tbtfGworld.std.com»; Fri, 20 Apr 2001 17:12:04 -0400 (EDT) 
Mime-Version: 1.0 
Message-Id: «v0421010eb70653b14e060[208.192.102.193]» 
Date: Fri, 20 Apr 2001 16:59:58 -0400 
To: tbtfaworld.std.com 
From: Keith Dawson <dawson@world.std.com> 
Subject: TBTF ping for 2001-04-20: Reviving 
Content-Type: text/plain; charset-"us-ascii" 
Sender: tbtf-approvalGworld.std.com 
Precedence: list 
Reply-To: tbtf-approval@europe.std.com 


TBTF ping for 2001-04-20: Reviving 
Tasty Bitsfrom the Technology Front 
Timely news of the bellwethers in computer and communications 
technology that will affect electronic commerce -- since 1994 
Your Host: Keith Dawson 
ISSN: 1524-9948 
This issue: « http://tbtf.com/archive/2001-04-20.html > 
To comment on this issue, please use this forum at Quick Topic: 
« http://www.quicktopic.com/tbtf/H/kQGJR2TXL6H » 


Quote Of The Moment 
Even organizations that promise "privacy for their customers" rarely 
if ever promise "continued privacy for their former customers..." 
Once you cancel your account with any business, their promises of 
keeping the information about their customers private no longer 
apply... you're not a customer any longer. 
This is in the large category of business behaviors that individuals 
would consider immoral and deceptive -- and businesses know are not 
illegal. 
-- " ankh," writing on the XNStalk mailing list 


..TBTF's long hiatus is drawing to a close 
Hail subscribers to the TBTF mailing list. Some 2,000 [1] of you 
have signed up since the last issue [2] was mailed on 2000-07-20. 
This brief note is the first of several I will send to this list to 
excise the dead addresses prior to resuming regular publication. 
While you time the contractions of the newsletter's rebirth, I in- 
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vite you to read the TBTF Log [3] and sign up for its separate free 
subscription. Send "subscribe" (no quotes) with any subject to 
tbtf-log-requestatbtf.com . I mail out collected Log items on Sun- 
days. 

If you need to stay more immediately on top of breaking stories, 
pick up the TBTF Log's syndication file [4] or read an aggregator 
that does. Examples are Slashdot's Cheesy Portal [5], Userland [6], 
and Sitescooper [7]. If your news obsession runs even deeper and you 
own an SMS-capable cell phone or PDA, sign up on TBTF's WebWire- 
lessNow portal [8]. A free call will bring you the latest TBTF Log 
headline, Jargon Scout [9] find, or Siliconium [10]. 

Two new columnists have bloomed on TBTF since last summer: Ted By- 
field's roving reporter [11] and Gary Stock's UnBlinking [12]. Late- 
ly Byfield has been writing in unmatched depth about ICANN, but the 
roving reporter nym's roots are in commentary at the intersection of 
technology and culture. Stock's UnBlinking latches onto topical sub- 
jects and pursues them to the ends of the Net. These writers' voices 
are compelling and utterly distinctive. 

[1] http://tbtf.com/growth.html 

[2] http://tbtf.com/archive/2000-07-20.html 

[3] http://tbtf.com/blog/ 

[4] http://tbtf.com/tbtf.rdf 

[5] http://www.slashdot.org/cheesyportal.shtml 

[6] http://my.userland.com/ 

[7] http://www.sitescooper.org/ 

[8] http://tbtf.com/pull-wwn/ 

[9] http://tbtf.com/jargon-scout.html 

[10] http://tbtf.com/siliconia.html 

[11] http://tbtf.com/roving reporter/ 

[12] http://tbtf.com/unblinking/ 


So 


urces 


» For a complete list of TBTF's email and Web sources, see 


http://tbtf.com/sources.html . 


Be 


| 

TBTF is free. If you get value from this publication, please visit 
the TBTF Benefactors page « http://tbtf.com/the-benefactors.html » 
and consider contributing to its upkeep. 


TBTF home and archive at http://tbtf.com/ . To unsubscribe send 
the message "unsubscribe" to tbtf-request@tbtf.com. TBTF is Copy- 
right 1994-2000 by Keith Dawson, <dawson@world.std.com>. Commercial 
use prohibited. For non-commercial purposes please forward, post, 
and link as you see fit. 


Keith Dawson dawsonGworld.std.com 
Layer of ash separates morning and evening milk. 


Version: PGPfreeware 6.5.2 for non-commercial use «http://www.pgp.com» 
iQCVAwUBOuCi3WAMawgf2iXRAQHeAQQA3YSePSQOXzdHZUVSkFDkTfpE9XS4fHQOs 
WaT6a8qLZK9PdNcoz3zggM/Jnjdx6CJqNzxPEtxk9B2DoG11/C/60HWNBN-«VujDu 
Xavé5S0P+Px4knaQcCleCamQJ7uGcsw+CqMpNbxWYaTYmjAfkbKH1EuLC2VRwdmD 
wOmwrDp70v8- 
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Spam detection software, running on the system "localhost.localdomain", has 

identified this incoming email as possible spam. The original message 

has been attached to this so you can view it (if it isn't spam) or label 

similar future email. If you have any questions, see 

GGCONTACT ADDRESSG@@ for details. 

Content preview:  ----- BEGIN PGP SIGNED MESSAGE----- TBTF ping for 2001-04-20: 
Reviving bast y B i tos f romtheTechnoiogyNFronmntJ.-—- 

Content analysis details: (-0.0 points, 5.0 required) 


// 默 认 5， 指 数 为 0， 判 定 为 非 垃圾 邮件 


pts rule name description 


-0.0 T RP MATCHES RCVD Envelope sender domain matches handover relay 
domain 


实际 测试 垃圾 邮件 


SpamAssassin 模 板 测试 完成 后 ， 并 不 一 定 代表 实际 环境 SpamAssassin 功 能 没 问题 ， 这 样 只 
能 看 出 SpamAssassin 功 能 是 否 正常 运行 ， 无 法 看 出 SpamAssassin 服 务 是 否 对 邮件 真 的 有 过 滤 作 
用 ， 接 下 来 实际 发 送 邮件 测试 ， 看 SpamAssassin 是 否 能 正常 过 滤 邮 件 。 

例如 ， 使 用 两 个 电子 邮件 账号 jerry 及 tom， 由 jerry 发 送 邮 件 给 tom， 发 送 一 封 垃圾 邮件 
与 一 封 正 常 邮件 ， 测 试 是 否 会 正确 判别 垃圾 邮件 及 正常 邮件 ， 范 例 邮 件 内 容 数 据 如 下 表 


所 示 。 
发 件 人 
收 件 者 tom@jerryit.idv.cn 
垃圾 邮件 主题 
正常 邮件 主题 
垃圾 邮件 内 容 XJS*C4JDBQADNI.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI 
-UBE-TEST-EMAIL*C.34X. 
正常 邮件 内 容 


垃圾 邮件 内 容 可 以 在 SpamAssassin 的 sample-spam.txt 模 板 中 找到 。 


首先 发 送 垃 圾 邮件 测试 ， 使 用 jerry 账 号 发 送 垃 圾 邮件 给 tom， 输 入 垃圾 邮件 内 容 ， 然 后 发 
送 邮 件 。 
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BRA: [Jeny SenyGjemytiévc 可 优先 : [sa 可 

RA = hom@jeryitidv cn G 

si: 
gis: 

回信 给 = 委 求 读 取 回 条 厂 

LL IA... [En] = 

dm. [Um 保存 发 件 备 份 厅 
Er z »*| 


[x35 *C43DBQADN1 .NSEN3 *2 IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X 


pen WebMail Project (http://openvebmail.org) 


检查 邮件 日 志文 件 ,发 现 该 邮件 分 数 到 达 999.0 分 被 SpamAssassin 服 务 判 断 为 垃圾 邮件 。 


[rootémail ~]# cat /var/log/maillog 

Sep 20 22:28:27 localhost spamd[3855]: spamd: processing message 
<20110921022730.M9951@jerrit.idv.cn> for nobody:99 

Sep 20 22:28:28 localhost spamd[3855]: spamd: identified spam (999.0/5.0) 
for nobody:99 in .4 seconds, 605 bytes. 

Sep 20 22:28:28 localhost spamd[3855]: spamd: 

result: Y 999 - ALL TRUSTED,GTUBE 
Scantime-0.,size-605,user-nobody,uid-99,required score-5.0,rhost-localhost, 
raddr-127.0.0.1,rport-55647mid-«20120921022730.M9951G8jerryit.idv.cn», 
autolearn-no 


接 下 来 发 送 正常 邮件 测试 ， 使 用 jerry 账 号 发 送 正常 邮件 给 tom， 输 入 正常 邮件 内 容 ， 然 后 
发 送 邮件 。 


re | 
WEA £ [fom@jenyit iv.cn a 
Pi: 
REE: 
回信 给 = 要求 读 取 回 条 厂 
me: [ 浏览 . [59] Ge 
主题 : | 正常 邮件 测试 保存 发 件 备份 万 


Sia | “保存 草稿 | HSE | [engiish z] 信件 格式 : [ 纯 文 本 z) wa 


open WebMail Project (http://cpenvetmail.ord) 


检查 邮件 日 志文 件 ， 发 现 检测 结果 只 有 -1.0， 说 明 信 件 内 容 未 达 垃 圾 邮件 标准 ， 
SpamAssassin 服 务 判断 为 正常 邮件 。 


[rootemail ~]# cat /var/log/maillog 

Sep 20 22:31:09 localhost spamd[3855]: plugin: eval failed: bayes: (in learn) locker: 
safe_lock: cannot create tmp lockfile 
/.spamassassin/bayes.lock.mail.jerryit.idv.cn.3855 for /.spamassassin/bayes.lock: 

No such file or directory 

Sep 20 22:31:09 localhost spamd[3855]: spamd: clean message (-1.0/5.0) for 

nobody:99 in 0.2 seconds, 542 bytes. 

Sep 20 22:31:09 localhost spamd[3855]: spamd: result: . -1 - ALL TRUSTED 
Scantime-0.2,size-542,user-nobody,uid-99,required score-5.0,rhost-localhost, 
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raddr=127.0.0.1, rport=49174, mid=<20120921023041.M99843@jerryit.idv.cn>, 
autolearn-unavailable 


根据 以 上 邮件 日 志 信息 ， 可 以 确定 SpamAssassin 服 务 已 正确 判断 出 邮件 的 性 质 ， 到 这 一 步 
算是 成 功 了 三 分 之 一 ， 再 用 tom 账 号 登录 邮箱 ，OpenWebMail 就 会 弹出 提示 窗口 ， 如 下 图 所 示 。 


J http://192. 168. 233.235 - 传 入 的 信件 -MBR 


Bm 10007] 
&| es sala UB aI Bap a 


" 
[ss | BAR) ana 
a 发 信 上 日 期 ~ BHA xm 


18 09212012 10:22:44 pm ?* jery 正常 邮件 测试 
ID 


pen WebMail 版 本 3.00, Letad i837 


那 再 进入 广告 邮件 ， 可 以 看 到 一 封 主题 为 垃圾 邮件 测试 的 邮件 ， 这 就 代表 SpamAssassin 
服务 能 够 百 分 百 检测 到 垃圾 邮件 。 
ER 1 未 读 /1 邮件 /3KB] 
o| ala ao OB aaae 加 


n 


m x 1 ty EE) 


a ZAHN 发 件 人 大 小 口 


1 日 0921/2012 10:18:59 pm 0* jery E LL 3g 
"n 


OperWebMail 版 本 3.00_beta4 说 明 ? 


21.3 让 SpamAssassin 增 加 检测 垃圾 邮件 功能 

SpamAssassin 服 务 虽 然 有 不 错 的 垃圾 邮件 判断 能 力 ， 但 毕竟 不 是 万 能 的 ， 原 因 是 
SpamAssassin 不 会 马上 将 信件 归 为 垃圾 邮件 ， 等 SpamAssassin 收 集 到 一 定数 量 的 模板 时 ， 
SpamAssassin 才 会 将 其 归 为 垃圾 邮件 。SpamAssassin 在 默认 情况 下 ， 通 过 贝 叶 斯 过 滤 以 加 强 
spam 的 规则 ， 通 过 用 户 输入 命令 来 实现 贝 叶 斯 学 习 是 最 有 效 的 方法 。 为 此 SpamAssassin 服务 
提供 命令 行 工具 sa-learn， 让 SpamAssassin 服 务 识别 用 户 收 到 的 各 种 不 同 的 垃圾 邮件 。 


建立 SpamAssassin 学 习 账 号 
在 配置 SpamAssassin 自 动 学 习 垃圾 邮件 能 力 之 前 ， 必 须 先 建立 两 个 邮件 账号 ， 账 号 名 称 分 
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别 为 spammail 及 nospammail。 


账号 名 称 账号 功能 
spammail 负责 让 spamassassin 学 习 未 被 归 为 垃圾 邮件 的 信箱 


nospammail 负责 让 spamassassin 学 习 误 判 为 垃圾 邮件 的 信箱 


学 习 垃圾 邮件 命令 


在 /var/spool/mail/ 目 录 中 创建 spammail 为 垃圾 邮件 账号 的 邮件 目录 ， 命 令 格式 如 下 : 


[root@mail ~]# /usr/bin/sa-learn --showdots --spam --mbox /var/spool/mail/spammail 
Learned tokens from 0 message (s) (0 message (s) examined) 


学 习 非 垃圾 邮件 命令 


在 /var/spoolmail/ 目 录 中 创建 nospammail 为 非 垃圾 邮件 账号 的 邮件 目录 ， 命 令 格式 如 下 : 


[rootémail ~]# /usr/bin/sa-learn --showdots --ham /var/spool/mail/nospammail 
Learned tokens from 0 message (s) (0 message (s) examined) 


检查 目前 学 习 状 况 

所 有 信件 都 是 SpamAssassin 的 学 习 模 板 ，SpamAssassin 不 会 马上 将 信件 归 为 垃圾 邮件 ， 等 
SpamAssassin 收 集 到 一 定数 量 的 模板 时 ，SpamAssassin 才 会 将 其 归 类 为 垃圾 邮件 ， 要 归 类 成 垃 
圾 邮件 需要 的 模板 也 要 高 达 一 两 百 封 。 


[root@mail ~]# sa-learn --dump magic 


0.000 0 3 0 non-token data: bayes db version 

0.000 0 0 0 non-token data: nspam 

0.000 0 1 0 non-token data: nham 

0.000 0 487 0 non-token data: ntokens 

0.000 0 987802486 0 non-token data: oldest atime 

0.000 0 987802486 0 non-token data: newest atime 

0.000 0 0 0 non-token data: last journal sync atime 
0.000 0 0 0 non-token data: last expiry atime 

0.000 0 0 0 non-token data: last expire atime delta 
0.000 0 0 0 non-token data: last expire reduction count 


如 果 要 SpamAssassin 重 新 学 习 ， 可 以 输入 【sa-learn--clear】， 模 板 统计 数量 就 会 重新 收集 
计算 。 


使 用 计划 任务 实现 自动 学 习 
要 让 SpamAssassin 每 天 都 学 习 新 的 垃圾 邮件 模板 ， 建 议 将 学 习 命令 加 入 到 计划 任务 中 ,这 


286 


第 21 章 


SPAM 一 一 垃圾 邮件 


= 


样 每 天 可 自动 从 信箱 内 收集 模板 数量 。 


* 1,13 * * * /usr/bin/sa-learn --showdots --spam --mbox /var/spool/mail/spammail 
* 1,13 * * * /usr/bin/sa-learn --showdots --ham --mbox /var/spool/mail/nospammail 


21.4 手动 配置 黑白 名 单 


SpamAssassin 服 务 可 以 自动 学 习 垃 圾 邮件 ， 不 过 要 在 收集 模板 数量 并 分 析 后 才 会 归 类 为 垃 
圾 邮件 ， 这 样 的 速度 太 慢 了 ! 有 一 个 快速 的 方式 ， 就 是 直接 将 域名 配置 为 黑 名单 ， 将 禁止 的 名 
单 配置 到 黑 名 单 中 ， 配 置 完 毕 后 ， 用 户 就 不 会 收 到 该 垃圾 邮件 了 ， 既 然 有 黑 名 单 ， 也 就 有 白 名 
单 ， 配 置 白 名 单 是 以 防 SpamAssassin 服 务 误 判 ， 配 置 白 名 单 后 ，SpamAssassin 服 务 就 不 会 判 为 
垃圾 邮件 ， 配 置 方 式 就 是 修改 垃圾 邮件 标准 定义 文件 local.cf。 


配置 黑白 名 单 


例如 ， 将 后 绥 为 jerryitidvcn 的 所 有 账号 都 配置 为 黑 名单 ， 但 特定 jerry 账 号 为 白 名 单 ， 如 下 


单一 用 户 账号 
em 


网 内 所 有 用 户 账号 
* 黑 名 单 blacklist_from 参 数 配置 将 域名 为 jerryitidv.cn 的 所 有 邮件 都 列 为 黑 名 单 ， 无 法 收 


到 信件 。 
X 白 名 单 whitelist from 参 数 配 置 可 以 收 到 jerry@jerryit.idv.cn 发 送 的 邮件 。 
配置 条 件 模板 ， 编 辑 垃圾 邮件 标准 定义 文件 ， 将 黑 名 单 配置 为 该 域名 内 的 所 有 账号 ， 白 名 
单 配置 为 jerry 账 号 。 
[root@mail ~]# vi /etc/mail/spamassassin/local.cf 
blacklist from *@jerryit.idv.cn // 黑 名 单 
whitelist from jerry@jerryit.idv.cn // 白 名 单 


黑白 名 单 配置 完毕 后 ， 必 须 重 新 启动 SpamAssassin 服 务 ， 配 置 才 会 生效 。 


[root@mail ~]# service spamassassin restart 
Stopping spamd: | OK 
Starting spamd: [ OK ] 


测试 SpamAssassin 黑 白 名 单 


首先 测试 白 名 单 ， 使 用 jerry 账 号 发 送 邮 件 给 tom, 检查 新 邮件 的 邮件 内 容 是 否 有 和 警告 信息 ， 
如 下 图 所 示 。 邮 件 内 容 可 以 正常 查看 ， 没 有 警告 信息 。 
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收 信人 : tomajeryit idv.en 
主题 : 1am jery 
lam jerry 
(mr K 
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其 次 测试 黑 名 单 ， 使 用 tom 账 号 发 送 邮 件 给 jerry， 看 看 可 不 可 以 在 收 件 箱 中 收 到 邮件 ， 如 
果 收 件 箱 中 没有 的 话 ， 可 能 在 广告 邮件 中 ， 而 且 有 SPAM 提 示 信 息 ， 如 下 图 所 示 ， 邮 件 被 归 类 
到 广告 邮件 〈 垃 圾 邮件 ) 中 。 


[EL RENE 7 
a| ale Alee & UB Sm al 


sX[sesi»u s] sram jo mra — sz] we | me 
en» 

日 期 :Fri, 21 Sep 2012 22:36 34 +0800 ©, AERA 
BBA = "tom" <tom@jerryitidv.cn> By fy Sx 

收 信人 : jery@jerryt.idv.cn 

主题 : | amtom 全 部 附件 


Spam detection software, ruming on the system “localhost localdomail", has 
identifed this incoming email as possible spam. The original message 

has been attached to this so you can view it (f t isnt spam) or label 

similar futuro omail. F you hove any quoctionc, coo 
@@CONTACT_ADDRESSA® for details 


Content preview. | am tom [... 
Content analysis details’ (99 0 points, 5 0 required) 
pts rule name 


ADALI Passed i 
100 USER IN BLACKLIST — From: address is in the users black-list 
发 送 人 : "tom" <tom@jeryi idv cn» 

收 信人 = jeryGjeryit idv.cn. 

主题 : | am tom 

日 期: Fri 21 Sep 2012 22:36:34 40800 

lam tom 


description 


en as 
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如 今 电子 邮件 被 广泛 使 用 ， 计 算 机 病毒 往往 会 藏 于 电子 邮件 中 ， 导 致 用 户 通过 电子 邮件 
而 中 毒 ， 所 以 对 邮件 服务 器 安装 防 病毒 软件 是 有 必要 的 ， 下 面 介 绍 MailScanner、Clamav 的 使 
用 。 


22.1 MailScanner 电 子 邮 件 安 全 系统 


MailScanner 官 方 网 站 : http://www.mailscanner.info/ s 
MailScanner 是 一 套 电子 邮件 安全 系统 ， 可 以 使 用 扫 毒 软件 〈Clamv) 及 广告 信息 判断 引 
5k (SpamAssassin) 来 增加 其 过 滤 功 能 。 它 同时 具有 邮件 过 滤 的 功能 。 


安装 必 备 软件 


安装 MailScanner 服 务 ， 需 要 许多 必 备 软件 ， 必 备 软件 数量 很 多 ， 务 必 都 要 安装 ， 不 要 缺 
少 任何 一 个 软件 ， 可 由 yum 在 线 更 新 方式 进行 快速 安装 。 


[root@localhost ~]# yum -y install rpm-build gcc-c++ rpm-devel zlib-devel libstdc++-devel 
bzip2-devel docbook-utils beecrypt-devel elfutils-devel gettext ncurses-devel 
readline-devel libselinux-devel 

Dependencies Resolved 


ng: 


bzip2-deve x86 64  1.0.5-7.e16 0 updates 250 k 
docbook-utils noarch 0.6.14-24.e16 base 69 k 
elfutils-devel x86 64  0.148-1.el6 base 66 k 
gec-c++ x86 64 4.4.4-13.e16 base 4.7 M 
libselinux-devel x86 64 2.0.94-2.e16 base 1s E 
libstdc++-devel x86 64  4.4.4-13.e16 base 1.5 M 
ncurses-devel x86 64 5.7-3.20090208.e16 base 642 k 
readline-devel x86 64  6.0-3.el6 base 134 k 
rpm-build x86 64  4.8.0-12.e16 base 122 k 
rpm-devel x86 64 4.8.0-12.e16 base 88 k 
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zlib-devel x86 64  1.2.3-25.e16 base 43 k 
Installing for dependencies: 

docbook-dtds noarch 1.0-51.e16 base 274 k 
docbook-style-dsssl noarch 1.79-10.e16 base 277 k 
elfutils-libelf-devel x86_64 0.148-1.el6 base 30 k 
file-devel x86 64 5.04-6.e16 updates 23 k 
libsepol-devel x86 64 2.0.41-3.e16 base 64 k 
openjade x86 64 1:3.2-36.e16 base 817 k 
opensp x86 64 1.5.2-12.1.el6 base 872 k 
perl-SGMLSpm noarch 1.03ii-21.el6 base 26 k 
popt-devel x86 64 1.13-7.el6 base 21 k 
sgml-common noarch 0.6.3-32.e16 base 43 k 
xml-common noarch 0.6.3-32.e16 base 9.5 k 
Updating for dependencies: 

bzip2-libs x86_64 1.0.5-7.e16 0 updates 36 k 
file x86 64 5.04-6.e16 updates 44 k 
file-libs x86 64 5.04-6.e16 updates 309 k 


Transaction Summary 


Install 22 Package (s) 
Upgrade 3 Package (s) 
Total download size: 11 M 


下 载 并 解压 MailScanner 软 件 


MailScanner 安装 文件 为 压缩 文件 ， 可 以 从 官方 网 站 使 用 wget 命令 下 载 ， 然 后 解压 缩 。 


[root@localhost ~]# wget 
http://www.mailscanner.info/files/4/rpm/MailScanner-4.84.3-1.rpm.tar.gz 
[root@localhost ~]# tar -zxvf MailScanner-4.84.3-1.rpm.tar.gz 


MailScanner FA: http://www.mailscanner.info/downloads.html.; 


安装 MailScanner 软件 


解压 缩 后 ， 进 入 MailScanner 安 装 目录 ， 按 官方 说 明 安装 MailScanner， 安 装 时 间 大 约 10 分 
钟 ， 如 果 没 有 安装 必 备 软件 ， 则 安装 过 程 中 会 发 生 错误 ， 无 法 安装 。 


[root@localhost ~]# cd MailScanner* // 进 入 MailScanner 安装 目录 [rootelocalhost 
MailScanner-4.84.3-1]4 ./install.sh 


// 安 装 MailScanner 


Please buy the MailScanner book from www.mailscanner.info! 
It is a very useful administration guide and introduction 
to MailScanner. All the proceeds go directly to making 
MailScanner a better supported package than it is today. 


MailScanner 可 以 与 Sendmail 或 Postfix 搭 配 使 用 ， 下 面 只 介绍 在 Postfix 环 境 中 使 用 
MailScanner， 毕 竟 CentOS 6.x 默 认 已 经 不 使 用 Sendmail 服 务 了 。 
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配置 Postfix 使 用 MailScanner 


编辑 Postfix 配 置 文件 ， 将 header_checks 前 面 的 【#】 号 删除 ， 开 启 Postfix 的 header_ checks 
[root@localhost ~]# vi /etc/postfix/main.cf 
The header checks parameter specifies an optional table with patterns 


that each logical message header is matched against, including 
headers that span multiple physical lines. 


# 
# 
# 
# 
# By default, these patterns also apply to MIME headers and to the 

# headers of attached messages. With older Postfix versions, MIME and 
# attached message headers were treated as body text. 

# 

# For details, see "man header checks". 

# 


header checks = regexp:/etc/postfix/header checks //MIbR#S, 配置 才 会 生效 


在 Postfix 配 置 文件 中 开启 header_ checks 后 ， 再 修改 header checks 文 件 ， 添 加 【/^Received:/ 
HOLD】， 这 一 行 一 定 要 加 在 最 前 面 ， 否 则 配置 不 会 生效 。 


[root@localhost ~]# vi /etc/postfix/header checks 


/^Received:/ HOLD // 将 所 收 到 的 信 先 暂 存在 /var/spool/postfix/hold 目录 
# HEADER CHECKS (5) HEADER CHECKS (5 ) 
# 


的 符号 输入 方式 为 Shift+6。 


检查 MailScanner 使 用 的 用 户 与 用 户 组 


检查 目前 用 户 、 用 户 组 及 队列 目录 : 


[root@localhost ~]# postconf |grep -E 'mail owner|setgid group|queue directory' 


mail owner - postfix // 执 行 Postfix 用 户 
queue directory = /var/spool/postfix / [Postfix 队列 目录 
setgid group - postdrop // 执 行 postfix 用 户 组 


检查 结果 内 容 如 下 。 


mail. owner 用 户 


setgid_group 用 户 组 postdrop 
收 信 队 列 目 录 /var/spool/postfix/hold 
发 信 队 列 目录 /var/spool/postfix/incoming 
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配置 MailScanner 


编辑 MailScanner 配 置 文件 ，Run As User 用 户 名 称 输入 Postfix 用 户 ，Run As Group 用 户 组 
输入 Postfix 用 户 组 名 称 postdrop。 


[root@localhost ~]# vi /etc/MailScanner/MailScanner.conf 

# User to run as (not normally used for sendmail) 

# If you want to change the ownership or permissions of the quarantine or 
# temporary files created by Mailscanner, please see the "Incoming Work" 
# settings later in this file. 

#Run As User = mail 

#Run As User = postfix 

Run As User = postfix //&' Postfix 用 户 名 称 

# Group to run as (not normally used for sendmail) 

#Run As Group = mail 

#Run As Group = postfix 

Run As Group = postdrop // 配 置 Postfix 用 户 组 名 称 


Postfix 用 户 及 用 户 组 配置 完成 后 ， 接 下 来 配置 Postfix 发 送 和 接收 邮件 的 队列 目录 ，Postfix 
队列 目录 名 称 分 别 为 hold 及 incoming 如 果 邮 件 服务 器 有 队列 邮件 则 会 出 现在 这 两 个 目录 内 。 


[root@localhost ~]# vi /etc/MailScanner/MailScanner.conf 
-中 间 省 略 … 
# 
#Incoming Queue Dir = /var/spool/mqueue.in 
Incoming Queue Dir = /var/spool/postfix/hold //Postfix 接收 邮件 的 队列 目录 
# Set location of outgoing mail queue. 
# This can also be the filename of a ruleset. 
#Outgoing Queue Dir = /var/spool/mqueue 
Outgoing Queue Dir - /var/spool/postfix/incoming 
/ [Post £ix 发 送 邮 件 的 队列 目录 


MailScanner 默 认 的 MTA 为 Sendmail 15 fid MailScanner ， 现 在 要 使 用 Postfix 搭 配 


MailScanner， 所 以 要 配置 为 postfix。 
[root@localhost ~]# vi /etc/MailScanner/MailScanner.conf 
# Set whether to use postfix, sendmail, exim or zmailer. 


# If you are using postfix, then see the "SpamAssassin User State Dir" 
# setting near the end of this file 


MTA = postfix / [Sk Sendmail, HA Postfix 


将 hold 及 incoming 配 置 为 用 户 及 用 户 组 


上 述 MailScanner 配 置 Postfix 发 送 接收 的 队列 目录 ， 所 以 必须 将 Postfix 的 hold 及 incoming 两 
个 队列 目录 配置 为 Postfix 的 用 户 及 用 户 组 。 


[root@localhost ~]# chown postfix.postdrop /var/spool/MailScanner/incoming 


//&'& Postfix 接收 队列 目录 的 用 户 与 用 户 组 
[root@localhost ~]# chown postfix.postdrop /var/spool/MailScanner/quarantine 
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em 一 


// 配 置 Postfix 发 送 队列 目录 的 用 户 与 用 户 组 


启动 MailScanner 


- 切 配置 完成 后 ， 先 将 Postfix 服 务 停 用 ， 原 因 在 于 MailScanner 服 务 启动 时 会 一 并 将 Postfix 
服务 启动 ， 如 果 Postfix 服 务 启动 ， 再 启动 MailScanner 服 务 ， 就 会 提示 错误 信息 ， 所 以 在 
MailScanner 启 动 前 必须 要 停 用 Postfix 服 务 。 

从 CentOS 6.x 版 本 开始 ，Postfix 为 默认 启动 的 服务 ， 所 以 也 要 将 Postfix 服 务 设 为 默认 不 启 
动 ， 然 后 将 MailScanner 服 务 设 为 默认 启动 ， 在 每 次 重新 启动 时 ，Postfix 才 不 会 重复 启动 。 


[root@localhost ~]# service postfix stop //ÈĦ Postfix 服务 
Shutting down postfix: [ OK ] 

[root@localhost ~]# chkconfig postfix off //Post£ix 服务 设 为 默认 停 用 
[root@localhost ~]# chkconfig MailScanner on //MailScanner 设 为 默认 启动 
[root@localhost ~]# service MailScanner start // 启 动 Mailscanner 服务 
Starting MailScanner daemons: 


incoming postfix: | eye c] 
outgoing postfix: CORI 
MailScanner: [ OK ] 


如 果 启 动 后 无 法 收 到 邮件 ， 检 查 一 下 /var/log/maillog 日 志文 件 ， 发 现 Could not create 
Processing Attempts Database 信 息 ， 此 错误 信息 在 CentOS 6.x 版 本 中 才 会 出 现 。 
[root@localhost ~]# vi /var/log/maillog 
Sep 21 20:25:36 localhost MailScanner [7881]: Could not create Processing Attempts Database 


" /var/spool/MailScanner/incoming/Processing.db" 
Sep 21 20:25:36 localhost MailScanner[7881]: Using locktype - flock 


原因 在 于 incoming 目 录 内 的 Processing.db 文 件 ， 需 要 配置 Postfix 用 户 与 用 户 组 ， 所 以 需要 
为 Processing.db 配 置 Postfix 用 户 与 用 户 组 ， 邮 件 即 可 以 正常 发 送 。 


[root@localhost postfix]# cd /var/spool/MailScanner/incoming 
[root@localhost incoming]# chown postfix.postdrop Processing.db 


测试 MailScanner 


MailScanner 服 务 正常 启动 后 ， 利 用 tom 用 户 给 jery 用 户 发 送 邮 件 ， 如 果 邮 件 内 容 出 现 
MailScanner 扫 描 的 信息 ， 如 下 图 所 示 ， 代 表 MailScanner 服 务 与 Postfix 服 务 配置 成 功 。 


*8 [ws z] [-s#08- 9 
n» 

日 期 : Sat, 22 Sep 2012 07:36:57 40600. ©, 

RIA : "tom <tom@jeryit.iv.cn> €, f Sx 

收 信人 : jemy@jemyit.idv.cn 


主题 : test 

test 

Thie message has been scanned for viruses and 

dangerous content by andis 

believed to be clean. 

«129 "I 
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22.2 SpamAssassin + MailScanner 


如 果 要 让 Postfix 服 务 搭配 使 用 SpamAssassin 及 MailScanner 服 务 ， 需 要 对 SpamAssassin 邮 
件 过 滤 服 务 及 MailScanner 邮 件 扫 描 服务 进行 配置 ， 首先 需要 对 MailScanner 服 务 进行 配置 ， 这 
样 才 可 以 和 SpamAssassin 一 起 使 用 ， 邮 件 服务 器 就 可 以 起 到 邮件 过 滤 和 邮件 扫描 的 作用 。 


配置 MailScanner 使 用 SpamAssassin 


编辑 MailScanner 配 置 文件 ， 配 置 MailScanner 的 SpamAssassin User State Dir 目 录 路 径 。 


[root@localhost ~]# vi /etc/MailScanner/MailScanner.conf 

# The per-user files (bayes, auto-whitelist, user prefs) are looked 

# for here and in ~/.spamassassin/. Note the files are mutable. 

# If this is unset then no extra places are searched for. 

# If using Postfix, you probably want to set this as shown in the example 
# line at the end of this comment, and do 

# mkdir /var/spool/MailScanner/spamassassin 

# chown postfix.postfix /var/spool/MailScanner/spamassassin 

# NOTE: SpamAssassin is always called from MailScanner as the same user, 
# and that is the "Run As" user specified above. So you can only 

# have 1 set of "per-user" files, it's just that you might possibly 
# need to modify this location. 

# You should not normally need to set this at all. 

#SpamAssassin User State Dir = /var/spool/MailScanner/spamassassin 
SpamAssassin User State Dir = /var/spool/MailScanner/spamassassin 


接 下 来 配置 SpamAssassin Site Rules Dir 目 录 路 径 ， 如 果 前 面 有 【【#】 号 需要 删除 ， 才 可 以 
使 用 。 


[root@localhost ~]# vi /etc/MailScanner/MailScanner.conf 

# The site rules are searched for here. 

# Normal location on most systems is /etc/mail/spamassassin. 
SpamAssassin Site Rules Dir - /etc/mail/spamassassin 


MailScanner 配 置 文件 配置 完成 后 ， 必 须 创 建 MailScanner 的 SpamAssassin User State DirH 
录 ， 默 认 MailScanner 目 录 下 没有 Spamassassin 目 录 ， 所 以 必须 自行 创建 ， 然 后 修改 为 Postfix 用 
户 及 用 户 组 权限 。 


[root@localhost ~]# mkdir -p /var/spool/MailScanner/spamassassin 
[root@localhost ~]# chown postfix.postdrop /var/spool/MailScanner/spamassassin 


配置 MailScanner 关 闭 Spam Checks 


编辑 MailScanner 配置 文件 ， 修 改 Spam Checks 参 数 ， 默 认为 yes， 修 改 为 no。 


[root@localhost ~]# vi /etc/MailScanner/MailScanner.conf 
# Do you want to check messages to see if they are spam? 
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# Note: If you switch this off then *no* spam checks will be done at all. 
# This includes both MailScanner's own checks and SpamAssassin. 

# If you want to just disable the "Spam List" feature then set 

# "Spam List =" (i.e. an empty list) in the setting below. 

# This can also be the filename of a ruleset. 


Spam Checks - no // 默 认为 yes， 邮 件 会 直接 被 MailScanner 删除 


MailScanner 配 置 文件 必须 将 Spam Checks 设 为 no， 如 果 不 设 为 no，SpamAssassin 及 


MailScanner 服 务 搭 配 使 用 时 ， 检 测 到 的 垃圾 邮件 都 会 被 MailScanner 服 务 直接 删除 ， 日 志 
文件 内 容 如 下 。 


Sep 22 22:27:23 localhost MailScanner[13963]: Spam Checks: Found 1 spam messages 


Sep 22 22:27:23 localhost MailScanner[13963]: Deleted 1 messages from 
processing-database 


重新 启动 SpamAssassin 及 MailScanner 


虽然 SpamAssassin 服 务 没有 修改 配置 文件 ， 但 为 了 让 MailScanner 能 够 更 好 地 搭配 
SpamAssassin 服 务 ， 需 要 重新 启动 SpamAssassin 服 务 ， 然 后 再 重新 启动 MailScanner 服 务 。 
[root@localhost ~]# service spamassassin restart 


Stopping spamd: [ OK ] 
Starting spamd: | OETI 


SpamAssassin 服 务 重新 启动 完成 后 ， 再 将 MailScanner 服 务 重新 启动 。 


[root@localhost ~]# service MailScanner restart 
Shutting down MailScanner daemons: 


MailScanner: [ OK ] 
incoming postfix: [ OK ] 
outgoing postfix: [ OK ] 
Waiting for MailScanner to die gracefully ... dead. 
Starting MailScanner daemons: 
incoming postfix: [ OK ] 
outgoing postfix: [ OK ] 
MailScanner: [OIX 


测试 SpamAssassin X MailScanner 服 务 搭配 使 用 


使 用 tom 账 户 发 送 垃圾 邮件 给 jerry 账 户 ， 查 看 结果 是 否 被 删除 ， 还 是 被 分 类 为 垃圾 邮件 。 
垃圾 邮件 的 内 容 如 下 。 


XJS*CAJDBQADN1 .NSBN3*21DNEN*GTUBE- STANDARD-ANTI-UBE-TEST-EMAIL*C.34X 
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国 | (3j 瑟 信使 用 字 集 [urs 
BEA: [tom <tom@jenyitidven> =] 优先 : [ER 本 
收 信 人 = jery@jerryit idv.cn. [v] 
BE 
BERK 
回信 给 : 要 求 读 取 回 条 厂 
me: [i |) E 
EE: [lest spam mal qPRIERÜ V 
im | sem] MERE | [english 7] 信件 格式 : [axe Hi 


a | 
D 


Kil ] 


邮件 发 送 后 ， 检 查 邮 件 传送 日 志 ， 在 日 志文 件 内 可 以 看 到 邮件 垃圾 邮件 指数 为 999.0， 所 
以 将 其 判定 为 垃圾 邮件 ， 在 日 志文 件 内 也 可 以 看 到 MailScanner 运 行 的 记录 。 


[root@localhost ~]# cat /var/log/maillog 

Sep 21 21:54:20 localhost MailScanner [13686] : 

New Batch:Scanning 1 messages, 1195 bytes 

Sep 21 21:54:20 localhost MailScanner [13686]: 

Virus and Content Scanning: Starting 

Sep 21 21:54:21 localhost MailScanner [13686] : 

Requeue: 57F98C24A4.A2D0E to D2FB5C24A9 

Sep 21 21:54:21 localhost postfix/qmgr [13585]: 

D2FB5C24A9: from=<tom@jerryit.idv.cn>, size=576, nrcpt=1 (queue active) 
Sep 21 21:54:21 localhost MailScanner [13686] : 

Uninfected: Delivered 1 messages 

Sep 21 21:54:21 localhost spamd[13402]: 

spamd: connection from localhost [127.0.0.1] at port 52600 

Sep 21 21:54:21 localhost spamd[13402]: 

spamd: setuid to nobody succeeded 

Sep 21 21:54:21 localhost spamd[13402]: 

spamd: creating default_prefs: //.spamassassin/user_prefs 

Sep 21 21:54:21 localhost MailScanner [13686] : 

Deleted 1 messages from processing-database 

Sep 21 21:54:21 localhost spamd[13402]: 

config: cannot create user preferences file //. 

spamassassin/user_prefs: No such file or directory 

Sep 21 21:54:21 localhost spamd[13402]: 

spamd: failed to create readable default prefs: //.spamassassin/user_prefs 
Sep 21 21:54:21 localhost spamd[13402]: 

Spamd: processing message 20120922015349.M46585G0jerryit.idv.cnfor nobody:99 
Sep 21 21:54:21 localhost spamd[13402]: 

spamd:identified spam (999.0/5.0) for nobody:99 in 0.3 seconds, 909 bytes. 
Sep 21 21:54:21 localhost spamd[13402]: 

Spamd: result: Y 999 - ALL TRUSTED, 

GTUBE scantime-0.3,size-909,user-nobody,uid-99, 

required score-5.0,rhost-localhost,raddr-127.0.0.1,rport-52600,mid-«20110922015349.M4 
6585@jerryit.idv.cn>,autolearn=no 


邮件 测试 中 发 现 可 以 收 到 正常 邮件 ， 但 是 垃圾 邮件 则 会 被 自动 删除 ， 查 看 邮件 日 志文 件 
时 出 现 以 下 信息 ， 发 生 原因 不 明 ， 以 前 CentOS 5.x 不 会 有 这 样 的 问题 ， 解 决 的 方法 是 将 Spam 
Checks 这 个 配置 值 由 no 改 回 yes 后 , 再 次 重新 启动 服务 再 将 yes 改 成 no 再 次 重新 启动 服务 后 ， 
问题 就 可 以 排除 。 


[root@localhost ~]# cat /var/log/maillog 
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Sep 22 22:27:22 localhost MailScanner[13963]: New Batch: Scanning 1 messages, 1237 bytes 
Sep 22 22:27:22 localhost MailScanner[13963]: Virus and Content Scanning: Starting 
Sep 22 22:27:23 localhost MailScanner[13963]: Spam Checks: Found 1 spam messages 

Sep 22 22:27:23 localhost MailScanner [13963]: Deleted 1 messages from processing-database 


检查 完 日 志文 件 后 ， 利 用 jery 账 号 登录 ，OpenWebMail 马 上 弹出 信息 通知 有 一 封 广告 邮 
件 ， 则 代表 没有 被 删除 。 


传 入 的 信件 - Yindors Internet Explorer 


about:blank B 
广告 邮件 1 


关闭 
er ARCET: 


进入 广告 邮箱 打开 邮件 ， 如 下 图 所 示 ， 系 统 会 通知 垃圾 邮件 分 数 高 达 999.0， 比 标准 值 5 
分 高 出 太 多 ， 所 以 判别 为 垃圾 邮件 。 


FAM: Sat, 22 Sep 2012 22 22 28 +0800 ©; REARS 
RRA = "tom" <tom@erryit idv cn» f, Me Sx 

WAR A : jerry@jeryitidv cn 

主题 : test spam mail 全 部 附件 


Spam detection software, running on the system “localhost localdomail", has 
identified this incoming email as possible spam. The original message 

has been attached to this so you can view it (f it isnt spam) or label 

similar future email. If you have any questions, see 
@@CONTACT_ADDRESS@@ for details. 


Content preview. XJS*CAJOBOADN!.NSBN3*2IDNEN*GTUBE-STANDARD-ANT-UBE-TEST- 
EMAIL"C 34X 

I 
Content analysis details: (999 0 points, 5.0 required) 


pts rule name description 


-1.0 ALL TRUSTED Passed through trusted hosts only via SMTP 

1000 GTUBE BODY: Generic Test for Unsolicited Bulk Email 

RBA : "tom? <tom@erryit.idv.cn> 

WTA : jerry@jerryit idv.cn. 

主题 : test spam mail 

日 期 : Sat, 22 Sep 2012 22:22:28 +0800 
XUS"C4JOBOADN1.NSBN3"2IDNEN"GTUBE-STANDARD-ANTLUBE-TEST-EMAIL"C. 34X 


This message has been scanned for viruses and 
dangerous content by MailScanner and is 
believed to be clean 


22.3 MailScanner+ClamAV 防 病毒 软件 


Clamav 官 方 网 站 : http://www.clamav.net/lang/en/。 
MailScanner 可 以 搭配 防 病毒 软件 扫描 邮件 ， 目 前 最 常用 的 是 ClamAV。 
前 面 介绍 了 如 何 将 SpamAssassin 和 MailScanner 搭 配 使 用 ， 下 面 介绍 MailScanner 如 何 搭 配 


防 病毒 软件 ClamAV， 使 邮件 服务 器 更 加 安全 。 


下 载 ClamAV 防毒 软件 


ClamAV 软 件 必须 自行 下 载 安装 ， 无 法 使 用 YUM 在 线 更 新 方式 安装 ，ClamAV 所 要 安装 的 
软件 有 4 个 ， 分 别 是 clamav、clamav-db、clamav-devel、clamd， 可 使 用 wget 命 令 依次 下 载 。 
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[root@localhost ~]# wget 
http://pkgs.repoforge.org/clamav/clamav-0.97.2-1.e16.rf.x86 64.rpm 
<- 中间 省 略 … 

[root@localhost ~]# wget 
http://pkgs.repoforge.org/clamav/clamav-db-0.97.2-1.e16.rf.x86 64.rpm 
<- 中间 省 略 - 

[root@localhost ~]# wget 
http://pkgs.repoforge.org/clamav/clamav-devel-0.97.2-1.e16.rf.x86 64.rpm 
~ 中间 省 略 .… 

[root@localhost ~]# wget 
http://pkgs.repoforge.org/clamav/clamd-0.97.2-1.e16.rf.x86 64.rpm 
-中 间 省 略 … 


http://pkgs.repoforge.org/clamav/5 


安装 ClamAV 防 毒 软件 


ClamAV 软 件 下 载 完 成 后 ， 必 须要 安装 ClamAV 的 必 备 软件 libtool-ltdl， 可 以 使 用 YUM 在 线 
更 新 方式 安装 。 


[root@localhost ~]# yum -y install libtool-1tdl 
Dependencies Resolved 


libtool-1tdl x86 64 2.2.6-15.5.616 base 44k 
Transaction Summary 


Install 1 Package (s) 
Upgrade 0 Package (s) 
Total download size: 44 k 


安装 好 libtool-ltdl 软 件 后 ， 就 可 以 安装 ClamAV 防 毒 软件 了 ，ClamAvV 的 4 个 软件 一 定 要 同 
时 安装 ， 和 否则 可 能 安装 失败 。 


[root@localhost ~]# rpm -ivh clamav-0.97.2-1.e16.rf.x86 64.rpm 
clamav-db-0.97.2-1.e16.rf.x86 64.rpm clamav-devel-0.97.2-1.e16.rf.x86 64.rpm 
clamd-0.97.2-1.e16.rf.x86 64.rpm 
warning: clamav-0.97.2-1.e16.rf.x86 64.rpm: Header V3 DSA/SHA1 Signature, key ID 
6b8d79e6: NOKEY 


Preparing... AHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE [100$] 
1:clamav-db AHHHEHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHRE [ 251] 
2:clamav AHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE [ 50$] 
3:clamd AHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE [ 75%] 
4:clamav-devel AHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE [100%] 
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此 错误 为 未 安装 libtool-ltdl 软 件 ， 不 过 个 安装 ClamAV 基 本 软件 时 ， 也 会 出 现 以 下 类 似 的 信 
息 。 


[root@localhost ~]# rpm -ivh clamav-0.97.2-1.e16.rf.x86 64.rpm 
Clamav-db-0.97.2-1.e16.rf.x86 64.rpm clamav-devel-0.97.2-1.e16.rf.x86 64.rpm 
clamd-0.97.2-1.e16.rf.x86 64.rpm 
warning: clamav-0.97.2-1.e16.rf.x86 64.rpm: Header V3 DSA/SHA1 Signature, key ID 
6b8d79e6: NOKEY 
error: Failed dependencies: 

libltdl.so.7 () (64bit) is needed by clamav-0.97.2-1.e16.rf.x86 64 


启动 ClamAV 服 务 


安装 ClamAV 软 件 完 成 后 ， 就 可 以 启用 ClamAV 服 务 了 ， 由 于 要 搭配 MailSacnner 使 用 ， 所 
以 需要 将 ClamAV 服 务 设 为 系统 默认 启动 。 


[root@localhost ~]# service clamd start //Clamav 启动 
Starting Clam AntiVirus Daemon: Bytecode: Security mode set to "TrustSigned". 
LibClamAV Warning: 4* i e de k de de RESIS E E E AE E E FE E E GIST II III II Ik 
LibClamAV Warning: *** The virus database is older than 7 days! *** 
LibClamAV Warning: *** Please update it as soon as possible. eee 
LibClamAV Warning: FRI TTT TK KK KT TT TK KKK KKK KR 411144055054 11A ELLA 

[ OK ] 
[root@localhost ~]# chkconfig clamd on //Clamav 设 为 默认 启动 


测试 CamAV 


ClamAV 防 毒 服务 内 有 模板 可 以 测试 扫描 ， 第 一 次 安装 好 ClamAV 服 务 后 ， 防 毒 扫 描 系 统 
会 通知 病毒 数据 库 太 旧 ， 就 会 有 如 下 所 示 的 扫描 结果 。 


[root@localhost ~]# clamscan /usr/share/doc/clamav-*/test/ 

LibClamAV Warning: FFI IK TTT TK KK KT TT TK KK KITT KKK KKK TK KKK EKER KEKE KK 
LibClamAV Warning: *** The virus database is older than 7 days! *** 
LibClamAV Warning: *** Please update it as soon as possible. *** 
LibClamAV Warning: FHI KKK KK IK KK KKK TKK f f KITT KHER EK TKK EERE KKK LA 
WARNING: /usr/share/doc/clamav-*/test/: Can't access file 
/usr/share/doc/clamav-*/test/: No such file or directory 

c SCAN SUMMARY ----------- 


Known viruses: 1006584 // 病 毒 特征 数量 
Engine version: 0.97.2 //Clamav 版 本 
Scanned directories: 0 // 扫 瞄 几 个 目录 
Scanned files: 0 // 扫 瞄 几 个 文件 
Infected files: 0 // 总 共有 几 只 感染 的 文件 
Data scanned: 0.00 MB // 数 据 扫描 容量 
Data read: 0.00 MB (ratio 0.00:1) // 数 据 读 取 容量 
Time: 3.978 sec (0 m 3 s) // 扫 描记 花 时 间 


如 果 使 用 ClamAV 防 毒 服务 对 整个 系统 扫描 的 话 ， 可 以 输入 【clamscan / -r】 ， 不 过 扫描 时 
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间 会 很 入， 建议 扫描 前 更 新 一 下 ClamAV 病 毒 特征 。 


更 新 ClamAV 病毒 数据 库 


完成 ClamAV 服 务 的 安装 后 ， 因 病毒 特征 是 最 旧 的 ,所 以 建议 立即 更 新 更 新 的 命令 如 下 : 


[root@localhost ~]# freshclam // 更 新 病毒 数据 库 

ClamAV update process started at Wed Sep 21 22:20:53 2011 

WARNING: DNS record is older than 3 hours. 

WARNING: Invalid DNS reply. Falling back to HTTP mode. 

Reading CVD header (main.cvd) : OK (IMS) 

main.cvd is up to date (version: 53, sigs: 846214, f-level: 53, builder: sven) 
Reading CVD header (daily.cvd) : OK 

WARNING: getfile: daily-13357.cdiff not found on remote server (IP: 168.143.19.95) 
WARNING: getpatch: Can't download daily-13357.cdiff from db.us.clamav.net 
WARNING: getfile: daily-13357.cdiff not found on remote server (IP: 194.186.47.19) 
WARNING: getpatch: Can't download daily-13357.cdiff from db.us.clamav.net 
WARNING: getfile: daily-13357.cdiff not found on remote server (IP: 64.246.134.219) 
WARNING: getpatch: Can't download daily-13357.cdiff from db.us.clamav.net 
WARNING: Incremental update failed, trying to download daily.cvd 

Downloading daily.cvd [100%] 

daily.cvd updated (version: 13653, sigs: 194598, f-level: 60, builder: jesler) 
Downloading bytecode.cvd [100%] 

bytecode.cvd updated (version: 144, sigs: 41, f-level: 60, builder: edwin) 
Database updated (1040853 signatures) from db.us.clamav.net (IP: 69.163.100.14) 
Clamd successfully notified about the update. 


配置 每 天 自动 更 新 病毒 特征 


修改 freshclam 配 置 文件 内 的 Checks 参 数 ， 该 参数 默认 未 启用 ， 将 【#】 号 删除 ， 则 Clam 
Antivirus 每 24 小 时 更 新 一 次 ， 即 每 天 更 新 一 次 。 
[root@localhost ~]# vi /etc/freshclam.conf 
# Number of database checks per day. 


# Default: 12 (every two hours) 
Checks 24 // 默 认 未 启用 ， 将 # 号 删除 ， 默 认为 24 小 时 更 新 一 次 


配置 MailScanner 搭 配 ClamAV 防 毒 进 行 扫 描 


配置 MailScanner 服 务 搭配 防 病毒 软件 进行 扫描 ， 对 MailScanner 配 置 文件 中 的 Virus 
Scanning 参 数 进行 修改 ， 默 认为 yes， 表 示 使 用 防 病毒 软件 扫描 ， 设 为 no 则 不 使 用 。 


[root@localhost ~]# vi /etc/MailScanner/MailScanner.conf 

# Do you want to scan email for viruses? 

# A few people don't have a virus scanner licence and so want to disable 
# all the virus scanning. 

# If you use a ruleset for this setting, then the mail will be scanned if 
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# *any* of the rules match (except the default) . That way unscanned mail 
# never reaches a user who is having their mail virus-scanned. 

# 

# If you want to be able to switch scanning on/off for different users or 
# different domains, set this to the filename of a ruleset. 

# This can also be the filename of a ruleset. 

Virus Scanning = yes // 默 认为 yes 


修改 Virus Scanning 参 数 配置 为 yes， 表 示 使 用 防 病毒 软件 ， 接 下 来 要 配置 MailScanner 所 搭 
配 使 用 的 防 病毒 软件 的 名 称 ，Virus Scanners 参 数 为 配置 防 病毒 软件 名 称 ， 默 认为 auto， 自 动 
选择 ， 现 在 要 搭配 ClamAV 服 务 使 用 ， 则 将 防 病毒 软件 名 称 修改 成 ClamAV。 
[root@localhost ~]# vi /etc/MailScanner/MailScanner.conf 


# Note: If you want to use multiple virus scanners, then this should be a 
# space-separated list of virus scanners. For example: 


# Virus Scanners = sophos f-prot mcafee 

# 

# Note: Make sure that you check that the base installation directory in the 
# 3rd column of virus.scanners.conf matches the location you have 

# installed each of your virus scanners. The supplied 

# virus.scanners.conf file assumes the default installation locations 
# recommended by each of the virus scanner installation guides. 

# 

# Note: If you specify "auto" then MailScanner will search for all the 

# scanners you have installed and will use all of them. If you really 
# want none, then specify "none". 

# 

# This *cannot* be the filename of a ruleset. 

Virus Scanners = clamav // 默 认为 auto， 配 置 为 所 要 使 用 的 防 病毒 软件 名 称 


配置 完成 后 ， 必 须 重新 启动 MailScanner 服 务 ， 才 可 以 与 ClamAV 搭 配 使 用 。 


[root@localhost ~]# service MailScanner restart 
Shutting down MailScanner daemons: 


MailScanner: LOE | 
incoming postfix: [ OK ] 
outgoing postfix: [ OK ] 
Waiting for MailScanner to die gracefully ... dead. 
Starting MailScanner daemons: 
incoming postfix: [ OK ] 
outgoing postfix: [ (on | 
MailScanner: [ OK ] 


MailScanner 搭 配 ClamAV 使 用 测试 


配置 好 MailScanner 使 用 ClamAV 防 毒 后 ， 可 发 送 一 封 病毒 邮件 测试 配置 是 否 生 效 ， 病毒 邮 
件 内 容 如 下 。 
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| 病毒 邮件 内 容 | 
XS5O!P%| @AP[4\PZXS4 (P^) 7CC) 7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 

BRA: [^] 

pi: 
REPE: 

[1 1—-———— 要 求 读 取 回 条 三 
附件 : gm... Ge 
主题 : |antiirus test RARE YS 


| imu | HARE [engin s] merit: [aE z wa] 


[ESOFA QAP [AV FZESA (P^ ] 7CC) 7) $EICAR-STANDARD-ANTIVIRUS-TEST-FILE $H4H* 


邮件 发 送 后 ， 检 查 邮 件 日 志文 件 ， 若 出 现 Virus and Content Scanning: Starting 代 表 防 病毒 
软件 已 启动 扫描 。 


[root@localhost ~]# cat /var/log/maillog 

Sep 22 22:57:23 localhost postfix/pipe[15907]: F3F3842B14: to=<tom@jerryit.idv.cn>, 
relay-spamassassin, delay-5.9, delays-4.8/0/0/1.1, dsn-2.0.0, status-sent (delivered via 
Spamassassin service) 

Sep 22 22:57:23 localhost postfix/qmgr[15850]: F3F3842B14: removed 

Sep 22 22:57:23 localhost MailScanner[15872]: New Batch: Found 2 messages waiting 

Sep 22 22:57:23 localhost MailScanner[15872]: New Batch: Scanning 1 messages, 2452 bytes 
Sep 22 22:57:23 localhost MailScanner[15872]: Virus and Content Scanning: Starting 
Sep 22 22:57:24 localhost MailScanner[15861]: Requeue: 8C24F42B15.A4BF6 to C34E442B1F 
Sep 22 22:57:24 localhost postfix/qmgr[15850]: C34E442B1F: 
from=<postmaster@mail.jerryit.idv.cn>, size-1366, nrcpt-1 (queue active) 

Sep 22 22:57:24 localhost MailScanner[15861]: Uninfected: Delivered 1 messages 

Sep 22 22:57:25 localhost postfix/local[15920]: C34E442B1F: 
to-«rootamail.jerryit.idv.cn», orig to-«postmaster», relay-local, delay-4.5, 
delays-4.4/0/0/0.04, dsn-2.0.0, status-sent (delivered to mailbox) 

Sep 22 22:57:25 localhost postfix/qmgr[15850]: C34E442B1F: removed 

Sep 22 22:57:25 localhost MailScanner [15861]: Deleted 1 messages from processing-database 
Sep 22 22:57:24 localhost MailScanner[15872]: Requeue: 9DA4542B1A.A9587 to DF74A42B01 
Sep 22 22:57:24 localhost postfix/qmgr[15850]: DF74A42B01: 
from=<jerry@localhost.localdomain>, size=2222, nrcpt-1 (queue active) 

Sep 22 22:57:24 localhost MailScanner [15872]: Uninfected: Delivered 1 messages 

Sep 22 22:57:24 localhost postfix/local [15920]: DF74A42B01: to=<tom@jerryit.idv.cn>, 
relay=local, delay=5, delays=4.9/0/0/0.09, dsn=2.0.0, status=sent (delivered to mailbox) 
Sep 22 22:57:24 localhost postfix/qmgr [15850]: DF74A42B01: removed 

Sep 22 22:57:24 localhost MailScanner [15872]: Deleted 1 messages from processing-database 
Sep 22 23:01:03 localhost update.bad.phishing.sites: Delaying cron job up to 600 seconds 


当 收 件 人 接收 邮件 时 会 收 到 一 封 主题 为 antivirus test 的 邮件 ， 提 示 邮 件 内 容 有 病毒 ， 这 就 
表示 MailScanner 拱 配 ClamAV 配 置 成 功 。 
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ee 


22 Sep 20122257 23 +0800 ©, RERA 
jerry" <jeny@jeryit.idv.cn> Ry f Sx 


lom@jenyit.idv.cn 
EB: antivirus test 


Tis a a mesge om pe MlScame E Mal Ves Preecien Sonic 
The oignal e ma atachnart Beenie massage” 

mas boiered io be ecd by a vrus and has bee replaced by is ami 
menge 

Myou wh lo recibe a copy oe "nci aacment ps 


yes request Alemanek you can cal Pem wih 
Ya crt of his massage 1o hard when pou cab 


M The Sap 222259. 2012 evn scanner sait 
Cum mag 15061 contain Eear Tet Span 


Nt t Hep Dii Leat on h yb ca! caido) Maigrir pee Att aren quarn A PON? (mesa e BECBSL2801 ATEAE) 
Peamasier 


Your Oration Narma Hove 
you oan om 


età qon Terent Vt hap er ames ca 


22.4 使 用 MailScanner 阻 挡 钓鱼 邮件 


钓鱼 邮件 是 指 利用 伪装 的 电邮 ， 欺 骗 收 件 人 将 账号 、 密 码 等 信息 回复 给 指定 的 按 收 者 ， 
或 引导 收 件 人 链接 到 特制 的 网 页 ， 这 些 网 页 通常 会 伪装 成 和 真实 网 站 一 样 ， 实 际 上 它 的 链接 
与 邮件 内 的 网 址 不 相符 ， 误 导 用 户 使 用 假冒 的 网 站 ， 进 而 对 收 件 人 进行 行 骗 。 可 以 利用 
MailScanner 过 滤 邮 件 内 容 ， 如 果 有 这 样 的 邮件 ， 会 将 该 邮件 阻挡 。 


检查 MailScanner 配 置 


检查 MailScanner 配 置 中 对 钓鱼 邮件 的 检查 是 否 开启 ，Find Phishing Fraud 参 数 默 认为 yes 
启动 ， 如 果 看 到 no 的 设置 ， 将 其 改 成 yes。 


[root@localhost ~]# vi /etc/MailScanner/MailScanner.conf 

# Do you want to check for "Phishing" attacks? 

# These are attacks that look like a genuine email message from your bank, 
# which contain a link to click on to take you to the web site where you 
# will be asked to type in personal information such as your account number 
# or credit card details. 

Except it is not the real bank's web site at all, it is a very good copy 
of it run by thieves who want to steal your personal information or 
credit card details. 

These can be spotted because the real address of the link in the message 
# is not the same as the text that appears to be the link. 

# Note: This does cause extra load, particularly on systems receiving lots 
# of spam such as secondary MX hosts. 

# This can also be the filename of a ruleset. 

Find Phishing Fraud = yes // 是 否 检测 钓鱼 邮件 ，yes 为 启动 ，no 为 不 启动 

~ 中间 省 略 .… 

# While detecting "Phishing" attacks, do you also want to point out links 
# to numeric IP addresses. Genuine links to totally numeric IP addresses 

# are very rare, so this option is set to "yes" by default. If a numeric 

# IP address is found in a link, the same phishing warning message is used 
# as in the Find Phishing Fraud option above. 


dE db db dE 


303 


CentOS 6.x 系统 管理 实战 宝典 


# This can also be the filename of a ruleset. 
Also Find Numeric Phishing = yes  // 是 否 检测 IP 方式 的 连结 


-中 间 省 略 - 


# If a phishing fraud is detected, do you want to highlight the tag with 
# a message stating that the link may be to a fraudulent web site. 
# This can also be the filename of a ruleeset. 


Highlight Phishing Fraud 


SE CAC a, SU 


= yes // 配 置 检测 到 钓鱼 邮件 时 ， 在 邮件 中 加 上 警告 信息 


新 启动 MailScanner 服 务 。 


[root@localhost ~]# service MailScanner restart 
Shutting down MailScanner daemons: 


MailScanner: [ OK ] 
incoming postfix: [ OK ] 
outgoing postfix: [ OK ] 
Waiting for MailScanner to die gracefully ... dead. 
Starting MailScanner daemons: 
incoming postfix: [ox] 
outgoing postfix: [ OK ] 
MailScanner: | (OK: J 


测试 钓鱼 邮件 


利用 jery 用 户 写 一 封 邮件 给 tom 用 户 ， 内 容 输 入 【欢迎 登录 cn.yahoo.com】，， 故 意 将 
cn.yahoo.com 超 链接 配置 为 ccn.yahoo.com， 如 果 MailScanner 服 务 检测 为 钓鱼 邮件 ， 系 统 就 会 


将 它 阻挡 ， 如 下 图 所 示 。 
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Bandwidthd 官 方 网 站 : http://bandwidthd.sourceforge.net/. 

Bandwidthd 是 一 套 免费 的 网 络 流量 监控 统计 软件 监控 网 络 流量 行为 并 以 图 形 及 统计 表 的 
方式 显示 ， 可 以 区 分 FTP、HTTP、P2P、TCP、UDP、ICMP 等 行为 ， 并 以 天 、 星 期 、 月 、 年 
来 统计 ，bandwidthd 算 是 MIS 管 理 和 监控 网 络 的 好 帮手 。 

下 载 地 址 : http://sourceforge.net/projects/bandwidthd/files/. 
目前 最 新 版 本 为 bandwidthd-2.0.1。 


23.1 安装 必 备 软件 


Bandwidthd 工 具 显示 统计 流量 ， 需 要 使 用 Apache 服 务 ， 除 此 之 外 还 有 其 他 组 件 ， 如 gcc、 
libpng、libpng-devel、gd、gd-devel、libpcap-devel， 建 议 使 用 YUM 在 线 更 新 方法 安装 。 


[root@localhost ~]# yum install -y httpd gcc libpng libpng-devel gd gd-devel 
libpcap-devel 
Dependencies Resolved 


Installing: 
gcc x86 64  4.4.4-13.e16 base 10M 
gd x86 64 2.0.35-10.e16 base 142 k 
gd-devel x86 64  2.0.35-10.e16 base 78 k 
httpd x86 64  2.2.15-5.e16.centos base 811 k 
libpcap-devel x86 64 14:1.0.0-6.20091201gitli7cb5.el6 base 97k 
libpng-devel X86 64  2:1.2.44-1.e16 base 111 k 
Installing for dependencies: 
apr x86 64 1.3.9-3.e16 0.1 updates 124 k 
apr-util x86 64 1.3.9-3.e16 0.1 updates 87k 
apr-util-ldap x86 64 1:3:9-3:616 0.1 updates 15 k 
cloog-ppl x86 64 0.15.7-1.2.e16 base 93 k 


CentOS 6.x 系统 管理 实战 宝典 


Cpp x86 64 4.4.4-13.e16 base 3.7 M 
fontconfig-devel x86 64 2.8.0-3.el6 base 209 k 
freetype-devel x86 64 2.3.11-6.e16 0.2 updates 363 k 
glibc-devel x86 64  2.12-1.7.e16 0.5 updates 961 k 
glibc-headers x86 64  2.12-1.7.e16 0.5 updates 592 k 
httpd-tools x86 64 2.2.15-5.e16.centos base 68 k 
kernel-headers x86 64 2.6.32-71.29.1.e16 updates 991 k 
libX11-devel x86 64 1:3-2.e1l6 base 1.0M 
libXau-devel x86 64  1.0.5-1.el6 base 13k 
libXdmcp x86 64  1.0.3-1.e16 base 22 k 
libXdmcp-devel x86 64  1.0.3-1.e16 base 9.6 k 
libXpm x86 64 3.5.8-2.e16 base 59 k 
libXpm-devel x86 64  3.5.8-2.e16 base 33 k 
libxt x86 64 1.0.7-1.e16 base 174 k 
libjpeg-devel x86 64  6b-46.e16 base 100 k 
libxcb-devel x86 64  1.5-1.el6 base 139 k 
mpfr x86 64  2.4.1-6.e16 base 157 k 
ppl x86 64 0.10.2-11.el6 base 1.3 M 
xorg-xll-proto-devel noarch 7.4-35.e16 base 250 k 
zlib-devel x86 64  1.2.3-25.e16 base 43 k 
Updating for dependencies: 
freetype x86 64  2.3.11-6.e16 0.2 updates 359 k 
glibc x86 64  2.12-1.7.e16 0.5 updates 3.7 M 
glibc-common x86 64  2.12-1.7.e16 0.5 updates 14 M 


Transaction Summary 


Install 30 Package (s) 
Upgrade 3 Package (s) 
Total download size: 40 M 


23.2 安装 Bandwidthd 软件 


使 用 wget 命 令 下 载 Bandwidthd 软 件 ， 下 载 完成 后 ， 解 压缩 并 安装 Bandwidthd， 由 于 安装 文 
件 为 tar 压 缩 文件 ， 所 以 必须 进行 编译 安装 。 
[root@localhost ~]# wget http://downloads.sourceforge.net/project/ 
bandwidthd/bandwidthd/bandwidthd$202.0.1/bandwidthd-2.0.1.tgz // 下 载 bandwidthd 


[root@localhost ~]# tar -zxvf bandwidthd-2.0.1.tgz // 解 压缩 文件 

中间 和 省略.… 

[root@localhost ~]# cd bandwidthd* // 进 入 bandwidthaq 安装 目录 
[root@localhost bandwidthd-2.0.1]# ./configure 

-中 间 省 略 .… 

[root@localhost bandwidthd-2.0.1]# make 

-中 间 省 略 .… 

[root@localhost bandwidthd-2.0.1]# make install // 编 译 并 安装 软件 
-中 间 省 略 .… 
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注意 【 /configure 】 前 面 有 一 个 小 数 点 。 


下 表 为 bandwidthd 的 相关 路 径 说 明 。 


目录 名 称 路 径 

默认 程序 安装 目录 /usr/local/bandwidthd 

bandwidthd 配 置 文件 /usr/local/bandwidthd/etc/bandwidthd.conf 
bandwidthd 网 页 目录 /usr/local/bandwidthd/htdocs 


配置 Bandwidthd 监 控 网 段 


要 使 用 Bandwidthd 工 具 ， 必 须 先 配置 要 监控 的 网 段 ， 才 会 对 监控 网 段 进 行 检测 ， 编 辑 
bandwidthd 配置 文件 ， 例 如， 要 检测 192.168.233 网 段 ，Bandwidthd 只 会 监控 检测 192.168.233.1~ 
192.168.233.254 的 所 有 耳 地 址 流量 ， 配 置 负责 监控 流量 的 网 卡 ， 默 认为 eth0， 若 有 两 块 网 卡 ， 
想 要 使 用 第 二 块 网 卡 ethl 进 行 检测 ， 可 以 将 其 修改 成 eth1。 


[root@localhost ~]# vi /usr/local/bandwidthd/etc/bandwidthd.conf 
JHEHHHEHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE 

# Bandwidthd.conf 

# 

# Commented out options are here to provide 

# documentation and represent defaults 

# Subnets to collect statistics on. Traffic that 

# matches none of these subnets will be ignored. 

# Syntax is either IP Subnet Mask or CIDR 

#subnet 10.0.0.0 255.0.0.0 // 默 认 这 三 段 加 上 # 号 停止 检测 

#subnet 192.168.233.0/16 

#subnet 172.16.0.0/12 

subnet 192.168.233.0/24 // 检 测 192.168.233 网 段 ， 其 他 网 段 依 此 类 推 
# Device to listen on 

# Bandwidthd listens on the first device it detects 

# by default. Run "bandwidthd -1" for a list of 

# devices. 


dev "eth0" // 将 # 号 移 除 后 ， 以 eth0 网 卡 检测 ， 或 者 可 配置 其 他 网 卡 


配置 的 网 络 地 址 须 与 要 监控 的 网 络 是 同一 网 段 ， 否 则 无 法 监控 流量 。 


建立 Bandwidthd 网 页 链接 


进入 Apache 网 页 目录 ,使 用 ln 命令 链接 bandwidthd 目 录 , 这 样 就 不 用 输入 一 长 串 的 路 径 了 。 
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[root@localhost ~]# cd /var/www/html / BE X Apache 默认 目录 
[root@localhost html]# ln -s /usr/local/bandwidthd/htdocs bandwidthd 

// 配 置 bandwidtha 网 页 链接 
[root@localhost html]& 11 // 检 查 是 否 建立 链接 
total 0 


lrwxrwxrwx. 1 root root 28 Sep 3 20:48 bandwidthd -> /usr/local/bandwidthd/htdocs 


配置 Bandwidthd 为 默认 启动 
每 次 机 器 重新 启动 时 ， 必 须 自 动 启 动 Bandwidthd， 所 以 必须 将 Bandwidthd 设 为 开机 默认 启 
动 。 由 于 Bandwidthd 不 是 系统 服务 ， 所 以 需要 添加 到 rc.local 文 件 ， 才 可 以 默认 启动 。 


[root@localhost html]& vi /etc/rc.local // 编 辑 rc.local 配置 默认 启动 
#!/bin/sh 


# 

# This script will be executed *after* all the other init scripts. 
# You can put your own initialization stuff in here if you don't 
# want to do the full Sys V style init stuff. 


touch /var/lock/subsys/local 
/usr/1ocal/bandwidthd/bandwidthd // 配 置 bandwidtha 为 默认 启动 


启动 Bandwidthd 服 务 


进入 bandwidthd 目 录 ， 启 动 bandwidthd 服 务 ， 启 动 命令 是 【./ bandwidthd】， 若 要 停止 
bandwidthd 服 务 ， 输 入 【killall bandwidthd ]. 


[root@localhost html]# cd /usr/local/bandwidthd //#£A bandwidthd 目录 
[root@localhost bandwidthd]# ./bandwidthd // 启 动 bandwidthd 


上 说明 | 


加 入 新 的 检测 监控 网 段 需 要 先 停止 bandwidthd， 加 入 完 后 再 启动 。 


下 表 为 bandwidthd 的 启动 停止 方式 。 


bandwidthd 启动 ./bandwidthd 
bandwidthd 停止 killall bandwidthd 
b 
配置 防火 墙 


Bandwidthd 需 使 用 Apache 服 务 ， 所 以 必须 在 防火 墙 配置 中 开启 80 端 口 。 


[rootGlocalhost bandwidthd]# vi /etc/sysconfig/iptables 
# Firewall configuration written by system-config-firewall 
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ee 9 


# Manual customization of this file is not recommended. 


*filter 


:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0] 


-A INPUT 
-A INPUT 
-A INPUT 
-A INPUT 
-A INPUT 
-A INPUT 


-m 
-P 
=z 
-m 
-m 


ca 


State --state ESTABLISHED,RELATED -j ACCEPT 

icmp -j ACCEPT 

lo -j ACCEPT 

State --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
State --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
REJECT --reject-with icmp-host-prohibited 


-A FORWARD -j REJECT --reject-with icmp-host-prohibited 


COMMIT 


防火 墙 配置 完成 后 ， 必 须 重新 启动 防火 墙 服 务 ， 配 置 才 会 生效 。 


[root@localhost bandwidthd]# service iptables restart 


iptables: 
iptables: 
iptables: 


iptables 


Flushing firewall rules: [ OK ] 
Setting chains to policy ACCEPT: filter  [ OK ] 
Unloading modules: I OK J] 
: Applying firewall rules: [ OK ] 


启动 Apache 服 务 


将 Apache 配 置 为 默认 启动 ， 因 为 Bandwidthd 要 不 断 检测 监控 网 段 ， 所 以 重新 启动 系统 后 也 


要 自动 启动 。 
[root@localhost ]# service httpd start // 启 动 Apache 
Starting httpd: IST OKT 


[root@localhost ~]# chkconfig httpd on // 将 Apache 设 为 默认 启动 


23.3 开始 使 用 Bandwidthd 


在 浏览 器 中 输入 【http:/ 人 P 地 址 /bandwidthd】， 第 一 次 使 用 会 出 现 以 下 信息 ， 代 表 目 前 正在 
收集 信息 ， 重 新 加 入 新 的 网 段 后 ， 打 开 浏 览 器 也 会 出 现 此 信息 。 


T d 


- Daily -- Weekly -- Monthly -- Yearly 


bandwidthd has nothing to graph. This message should be replaced by graphs in a few 
minutes. IF it's not, please see the section titled "Known Bugs and Troubleshooting" in 
the README 


花 几 分 钟 收集 数据 , Bandwidthdi E23] th PrRO'ECEIR Id BoP Hh BAAR 星期 、 
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月 、 年 为 单位 统计 数据 。 


d 


Programmed by David Hinkle, Commissioned by DerbyTech wireless networking, 
Daly - Weekly — Monthly — Yearly 


Pick a Subnet 
- Top20 -- 192 168 2330 - 


Top 20 IPs by Traffic - Daily 


1921682331 — | 121.08) 


6.4K 
19216523320 Tw 


Bandwidthd 不 光 使 用 图 形 界 面 显 示 监 控 数 据 ， 也 使 用 统计 数据 方式 显示 监控 数据 。 
(Top) Total - Total of all subnets 
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MRTG 官方 网 站 : http://0ss.oetiker.ch/mrtg/。 

MRTG (Multi Router Traffic Grapher) 是 一 款 可 用 来 绘制 网 络 流量 图 的 软件 ， 由 瑞士 奥 尔 
We vill) Tobias Oetiker 与 Dave Rand 开 发 ， 此 软件 以 GPL 授权 。 

监控 设备 必须 支持 SNMP 协 议 。 MRTG 以 所 收集 到 的 数据 生成 HTML 文 件 ， 以 GIF 或 PNG 


格式 绘制 出 图 形 ， 并 以 日 、 周 、 月 、 年 等 统计 时 间 分 别 展现 。 它 也 可 以 生成 最 大 值 、 最 小 值 及 
平均 值 供 统计 使 用 。 


we 
日 流量 图 
最 后 统计 更 新 时 间 ， 2012 年 9 月 8H. BMA. 6:35 
"localhost. localdomain” 已 运行 了 136 天 ，19:10:50。 
每 日 图 表 (5 分 钟 平均 ) 
940.0 n 
6».0n 
gp eon 
2 aoon 
W i ia — 
4 6 6 10 i2 14 16 18 20 22 0 2 4 6 8 10 42 
最 大 平均 当前 
RA 193MWÉ (13.8%) 48.2 Mb 和 (4.8%) POMI (7.9%) 
流出 8170MbAS (178) — 2455 MbEP (24.5%) 509.7 Mb (51.0%) 
wea 
周 流量 图 


每 周 图 表 (30 分 钟 平均 ) 
840.0 H 


z 


B 60.0 n Hf] 


t 420.0 M 
E 
5 219.0" | 


2 oon 


最 大 平均 当前 
流入 1159NMb 各 (11.6%) 443 Mb (4.4%) 84.3 Mb (8.4%) 
TRH 821.8 MWEF (8228) 195.2 MWE (19.5%) 684.2 MWE (68.4%) 
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月 流量 图 
每 月 图 表 (2 小 时 平均 ) 
= 800.0 M 
5 
& 600.0 M 
k 400.0 M 
g 200.0 f- 
B ON 
- Week 46 Week 47 Week 48 Week 49 Week 50 
最 大 平均 EL] 
流入 2150Mbf (21.5%) 49.8 MP (5.0%) 58.7 Mb (5.9%) 
流出 750.8 Mb (75.1%) — 1879MWEP (18.8%) — 561.5 Mb 各 (56.5%) 
年 流量 图 


每 年 图 表 (1 天 平均 ) 


0.0 
Nov Dec Jan Feb Mar Apr May Jun Jul Rug Sep Oct Nov 


最 大 平均 当前 
流入 1217Mb 种 (122%) 425 Mb 种 (429) 395Mb 种 44.0%) 
演出 2809Mb 各 0284 多 1382Mb 种 (13895) — 214.5 ME? (21.5%) 


24.1 MRTG 分 析 统 计 本 机 流量 


若 要 检测 本 地 服务 器 的 网 络 流量 ， 并 生成 流量 统计 图 ， 最 重要 的 是 SNMP 必 须要 启动 ， 和 否 
则 配置 完成 后 ， 不 会 出 现任 何 的 流量 统计 图 。 示 例 中 IP 地 址 为 192.168.233.10。 


安装 必 备 软件 


使 用 MRTG 软 件 必须 安装 Apache 及 SNMP 服 务 ， 可 用 YUM 在 线 更 新 方式 安装 。 


[root@localhost ~]# yum install -y httpd net-snmp 
Dependencies Resolved 


Installing: 
httpd x86 64 2.2.15-5.e16.centos base 811 k 
net-snmp x86 64 1:5.5-27.e16_0.1 updates 297 k 
Installing for dependencies: 
apr x86 64 1.3.9-3.e16_0.1 updates 124 k 
apr-util x86 64 1.3.9-3.e16_0.1 updates 87 k 
apr-util-ldap x86 64 1.3.9-3.e16 0.1 updates 15 k 
httpd-tools x86 64 2.2.15-5.e16.centos base 68 k 
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lm sensors-libs x86 64 3.1.1-10.e16 base 37 k 
net-snmp-libs x86 64 1:5.5-27.e16_0.1 updates L.S N 
Transaction Summary 


Install 8 Package (s) 
Upgrade 0 Package (s) 
Total download size: 2.9 M 


配置 Apache 编 码 


为 了 使 MRTG 软 件 支持 简体 中 文 ， 需 要 让 Apache 服 务 使 用 UTF-8 编 码 ， 所 以 必须 要 修改 
Apache 配 置 文件 。 


[root@localhost ~]# vi /etc/httpd/conf/httpd.conf 

# 

# Specify a default charset for all content served; this enables 
# interpretation of all content as UTF-8 by default. To use the 
# default browser choice (ISO-8859-1) , or to allow the META tags 
# in HTML content to override this choice, comment out this 

# directive: 

# 

AddDefaultCharset UTF-8 


编辑 SNMP 配 置 文件 


安装 完 SNMP 服 务 后 ， 必 须要 配置 才 可 以 使 用 ， 在 最 后 添加 View 参 数 。 


[root@localhost ~]# vi /etc/snmp/snmpd.conf 
# Make at least snmpwalk -v 1 localhost -c public system fast again. 
# name incl/excl subtree mask (optional) 


view systemview included BIC3- nog 2 gs 
view systemview included DEA 6.1 2d a2 sed od 
view systemview included 11:326.1:2.1.2 


启动 SNMP 服务 


SNMP 服 务 配置 完成 后 ， 接 下 来 就 是 启动 SNMP 服 务 ， 并 将 SNMP 服 务 设 为 默认 启动 。 


[root@localhost ~]# service snmpd start / / H3] SNMP 
Starting snmpd: Dok 7 

[root@localhost ~]# chkconfig snmpd on //SNMP 配置 为 默认 启动 
安装 MRTG 软 件 


以 前 的 CentOS 版 本 无 法 以 YUM 在 线 更 新 的 方法 安装 不 过 CentOS 6.0 可 以 由 yum 方 式 在 线 
更 新 方法 进行 安装 。 
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[root@localhost ~]# yum install -y mrtg // 安 装 MRTG 软件 
Dependencies Resolved 


Package Arch Version Repository Size 


mrtg x86 64 2.16.2-5.el6 base 694 k 
Installing for dependencies: 

gd x86_64 2.0.35-10.e16 base 142 k 
libXpm x86 64 3.5.86-2-el6 base S9 Le 
mrtg-libs x86_64 2.16.2-5.e16 base 95 k 
perl-IO-Socket-INET6 noarch 2.56-4.e16 base 17k 
perl-SNMP Session noarch 1.12-4.e16 base 67 k 
perl-Socket6 x86_64 0.23-3.e16 base 23 k 


Transaction Summary 


Install 7 Package (s) 


Upgrade 0 Package (s) 
Total download size: 1.1 M 


配置 检测 来 源 


配置 MRTG 检 测 来 源 ， 将 Deny from all 参 数 加 上 # 号 ， 如 果 不 添加 则 无 法 检测 来 源 ， 然 后 添 
加 Allow from all 允 许 检测 所 有 来 源 。 


[root@localhost ~]# vi /etc/httpd/conf.d/mrtg.conf 
# 
# This configuration file maps the mrtg output (generated daily) 
# into the URL space. By default these results are only accessible 
# from the local host. 
# 
Alias /mrtg /var/www/mrtg 
<Location /mrtg> 
Order deny, allow 
# Deny from all 
Allow from all // 配 置 检测 所 有 来 源 
Allow from 127.0.0.1 
Allow from ::1 
# Allow from .example.com 
«/Location» 


生成 MRTG 配 置 文件 


MRTG 配 置 完成 后 ， 就 可 以 使 用 系统 生成 MRTG 配 置 文件 了 ， 生 成 MRITG 配 置 文件 后 ， 再 
编辑 配置 文件 。 
[root@localhost ~]# cfgmaker public@192.168.233.10 > /etc/mrtg/mrtg.cfg 


// 生 成 MRTG 配置 文件 


[root@localhost ~]# vi /etc/mrtg/mrtg.cfg / [5858 MRTG 配置 文件 
# Created by 


# /usr/bin/cfgmaker public@192.168.233.10 // 被 检测 主机 IP 地 址 
### Global Config Options 
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# for UNIX 


WorkDir: /var/www/mrtg  // 把 # 号 删除 ， 并 将 路 径 修改 为 网 站 网 页 目录 路 径 
Refresh:300 


Interval:5 
Language:zh CN.UTF-8 
options[ ]: growright 


A 示例 卫 地 址 为 192.168.233.10， 请 依 实际 情况 修改 。 
* 若 WorkDir: /home/http/mrtg 前 的 # 号 未 删除 ， 则 网 页 生成 会 失败 ， 找 不 到 目录 。 
[root@localhost mrtg]# env LANG-C mrtg /etc/mrtg/mrtg.cfg 


Use of uninitialized value $dir in concatenation (.) or string at /usr/bin/mrtg 
line 2530. 


Use of uninitialized value $dir in concatenation (.) or string at /usr/bin/mrtg 


line 2548. 


Use of uninitialized value $dir in concatenation (.) or string at /usr/bin/mrtg 
line 2564. 


ERROR: "WorkDir" not specified in mrtg config file 


生成 MRTG 网 页 


生成 MRITG 网 页 时 ， 需 要 输入 三 次 命令 ， 执 行 到 完全 没有 错误 信息 时 ， 才 算 完成 ， 若 三 次 
过 后 还 有 错误 ， 就 要 检查 配置 文件 是 否 有 配置 错误 。 


[root@localhost ~]# env LANG=C mrtg /etc/mrtg/mrtg.cfg // 第 一 次 


2012-09-08 15:51:49, Rateup WARNING: /usr/bin/rateup could not read the primary log file 
for 192.168.233.10 2 


2012-09-08 15:51:49, Rateup WARNING: /usr/bin/rateup The backup log file for 
192.168.233.10 2 was invalid as well 

2012-09-08 15:51:49, Rateup WARNING: /usr/bin/rateup Can't remove 192.168.233.10 2.01ld 
updating log file 

2012-09-08 15:51:49, Rateup WARNING: /usr/bin/rateup Can't rename 192.168.233.10 2.1og to 
192.168.233.10 2.01d updating log file 

[root@localhost ~]# env LANG-C mrtg /etc/mrtg/mrtg.cfg // 第 二 次 


2012-09-08 15:51:52, Rateup WARNING: /usr/bin/rateup Can't remove 192.168.233.10 2.old 
updating log file 


[root@localhost ~]# env LANG-C mrtg /etc/mrtg/mrtg.cfg // 第 三 次 
[root@localhost ~]# 


启动 Apache 服 务 
MRITG 所 有 配置 完成 后 ， 接 下 来 就 是 启动 Apache 网 页 服务 器 ， 将 Apache 设 为 默认 启动 。 


[root@localhost ~]# service httpd start / [H3 httpd 
Starting httpd: [I (OK 4 
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[root@localhost ~]# chkconfig httpd on / [Apache 设 为 默认 启动 


配置 防火 墙 


MRTG 要 用 到 Apache 服 务 ， 必 须 在 防火 墙 配置 文件 中 开启 80 端 口 ， 这 样 才 可 以 对 外 连接 。 


[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
/ /Apache 端口 

-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


防火 墙 配置 完毕 后 ， 必 须 重新 启动 防火 墙 服 务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: [S OX] 
iptables: Setting chains to policy ACCEPT: filter [70K | 
iptables: Unloading modules: [GE J 
iptables: Applying firewall rules: [ OK ] 


浏览 MRTG 网 页 


打开 浏览 器 ， 输 入 【http:/192.168.233.10/mmrtg/192.168.233.10_2.html】， 如 下 图 所 示 。 


192.168.233.10 为 示例 中 MRTG 服 务 器 也 地 址 ， 请 依 实 
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:ethó 
ethernetCsmacd (6) 
Nar Speed: 125.0 KByte: 


Rust eani. 2012 年 九 月 8 日 .星期 六 。 5:51, 
:localdomnin” 已 运行 了 ， 0:35:34, 


*"H 图 表 (5 分 钟 平均 ) 


24.2 MRTG 分 析 Windows XP 主 机 流量 


MRTG 不 仅 能 检测 网 络 设备 或 Linux 系 统 ， 也 能 检测 Windows 平 台 ， 只 要 有 SNMP 服 务 都 可 
以 使 用 MRTG 检 测 流量 ， 这 里 检测 Windows XP 操作 系统 的 网 络 流量 。 


示例 环境 介绍 


下 表 为 MRTG 服 务 器 检测 客户 端的 相关 数据 。 
被 检测 Windows XP 客户 端 IP 地 址 


在 Windows XP 操作 系统 中 添加 SNMP 服 务 


HO) 在 Windows XP 操 作 系统 中 ， 按 【开始 】 > DRE] 】>【 控制 面板 】>【 添 加 
或 删除 程序 】>【 添加 /删除 Windows 组 件 ]， 安 装 SNMP 服 务 


319 


CentOS 6.x 系统 管理 实战 宝典 


Ge? 选择 【 管理 和 监视 工具 ]， 按 【 详细 信息 】 


Yindows HI FA 
TILA DOME Windows XP MAPP. ^ 


tn 


aro: 


(2. 管理 和 览 视 工具 
C] 双 其 他 网 络 文件 和 打印 服务 
口 因素 引 服务 


soso (eA) 


网 络 管理 协议 】 el He) 50 ITE h 
管理 和 监视 工具 区 | 
SA RERESAS: nee RT. OTTS 
管理 和 监视 工具 的 子 组 件 O: 


fea 时 mr samp 提供 程序 


RAER 


GIs 选择 [ 简单 


描述 : aan es gt ‘Instrumentation 


LIE 
可 用 磁盘 空间 


CHI = 开始 安装 SNMP 应 用 程序 


状态 - 


CEE SNMP 应 用 程序 安装 完成 。 
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06 


€» 


[^0] 


Windows 组 件 向 导 


FUR “Windows 组 件 向 导 ” 


您 已 成 功 地 完成 了 Windows HAAS. 


请 单 击 “ 完 成 ”来 关闭 此 向 导 。 


SNMP 服 务 安装 完成 后 ， 必 须 开 启 防 火 墙 端口 ， 否 则 MRTG 服 务 器 无 法 检测 ， 
选择 【 开始 】 > 【 设置 > 【 控制 面板 > [ Windows 防 火 墙 ])， 选 择 【 例外 】 
选项 卡 ， 单 击 【 添加 端口 上 


| Sabri aT e e 二 


添加 SNMP 的 UDP 16135 1, 名 称 输入 snmp ( 可 自行 配置 ), 端口 编号 输入 161， 
选择 UDP， 输 入 完毕 后 ， 按 【 确定 上 


添加 端口 


添加 端口 成 功 后 界面 如 下 图 所 示 ，Windows XP 部 分 就 配置 完成 。 
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LE NE EET 


| Windoes 防火 培 正 在 阻止 除 下 到 选 定 程序 和 上限 务 之 外 的 传 入 网 络 连 接 . = 
MOBS SSS ENIRT (E, Bem EIU. 


CILE) 
Ditindows 防火 塘 阻 止 程序 时 通知 和 QD. 


SON tte peso 


配置 MRTG 
请 先行 安装 配置 Apache、MRTG 软 件 ， 相 关 步 又 可 以 参考 “MRTG 分 析 统 计 主机 流量 ”。 


生成 MRTG 配 置 文件 


MRTG 配 置 完成 后 ， 就 可 以 使 用 系统 生成 MRTG 配 置 文件 了 ， 生 成 MRTG 配 置 文件 后 ， 再 
编辑 配置 文件 。 


[root@localhost ~]# cfgmaker public@192.168.233.7 > /etc/mrtg/mrtg.cfg 


// 生 成 MRTG 配置 文件 
[root@localhost ~]# vi /etc/mrtg/mrtg.cfg // 编 辑 MRTG 配置 文件 
# Created by 
# /usr/bin/cfgmaker public@192.168.233.7 // 被 检测 的 IP 地 址 


### Global Config Options 
* for WINDOWS 

WorkDir: /var/www/mrtg 
Refresh:300 

Interval:5 

Language: zh CN.UTF-8 
options[ ]: growright 


生成 MRTG 网 页 


生成 MRTG 网 页 时 ， 需 要 输入 三 次 命令 ， 到 完全 没有 错误 信息 时 ， 才 算 完 成 ， 若 三 次 过 后 
还 有 错误 ， 就 要 检查 配置 文件 是 否 有 配置 错误 。 生 成 MRTG 网 页 后 ， 记 得 将 Apache 重 新 启动 。 
[root@localhost ~]# env LANG-C mrtg /etc/mrtg/mrtg.cfg // 第 一 次 


2012-09-08 19:17:20, Rateup WARNING: /usr/bin/rateup could not read the primary log file 
for 192.168.233.7 2 
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2012-09-08 19:17:20, Rateup WARNING: /usr/bin/rateup The backup log file for 
192.168.233.7 2 was invalid as well 

2012-09-08 19:17:20, Rateup WARNING: /usr/bin/rateup Can't remove 192.168.233.7 2.01d 
updating log file 

2012-09-08 19:17:20, Rateup WARNING: /usr/bin/rateup Can't rename 192.168.233.7 2.10g to 
192.168.233.7 2.01d updating log file 

[root@localhost ~]# env LANG-C mrtg /etc/mrtg/mrtg.cfg // 第 二 次 

2012-09-08 19:17:21, Rateup WARNING: /usr/bin/rateup Can't remove 192.168.233.7 2.01d 
updating log file 

[root@localhost ~]# env LANG-C mrtg /etc/mrtg/mrtg.cfg // 第 三 次 
[root@localhost ~]# 


打开 MRTG 网 页 


打开 浏览 器 ， 输 入 【http://192.168.233.10/mrtg/192.168.233.7_2.html】)， 如 下 图 所 示 ， 可 以 
看 到 MRTG 目 前 检测 的 他 地 址 为 Windows XP 操作 系统 的 下 地 址 。 
Traffic Analysis for 2 一 JERRYIT 


Systen: JERRYIT in 
Maintainer: 

Description: AND-PCNET-Fanily-PCI-Ethernet-Adapter— S31 GL TEX e PRIO 
iflype: ethernetCemacd (6) 

ifane: 


Max Speed: | 125.0 MBytes/s 
最 后 统计 更 新 时 间 ， 2012 ¥ h A 8H, SMA. 7:17, 
j'JERRYIT^ ejir. 0:18:19. 


dH 图 表 (5 分 钟 平均 ) 


4.0 
39 LéÉEEHLIELI 
E 
1.0 


Bits per Second 


p 
22'0 2 4 6 o 10 12 14 16 18 20 22 0 2 4 6 


最 大 平均 当前 
RA: 0Ob/ 种 (0.og) 00b/ 种 (0.0%) 0.0 b/# (0.0m) 
流出 : 0.0 by 秒 (0.0%) 0.0 b/# (0.0%) 0.0 by 种 (0.09) 
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官方 网 站 : http//www.ntop.org/« 

ntop 是 一 种 功能 类 似 Sniffer 的 网 络 流量 监控 工具 。 将 它 安装 在 网 络 上 后 可 以 显示 网 络 的 总 
流量 , 网 段 内 各 机 器 的 流量 , 及 各 种 服务 所 占用 的 流量 等 。 甚至 能 列 出 每 个 节点 的 带宽 利用 率 ， 
其 所 显示 的 网 络 流量 情况 比 MRTG 更 加 详细 。 


25.1 安装 ntop 必 备 软件 
在 


装 ntop 前 ， 必 须 安装 一 些 必 备 软件 ， 否 则 无 法 正常 安装 ntop 软 件 ， 软 件 信息 如 下 。 


[root@localhost ~]# yum install -y gcc libpcap-devel libpcap libtool automake autoconf 
gdbm gdbm-devel libevent libevent-devel rrdtool rrdtool-devel zlib zlib-devel 
Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 
Autoconf noarch 2.63-5.1.e16 base 781 k 
Automake noarch 1.11.1-1.2.e16 base 550 k 
Gee X86 64  4.4.4-13.e16 base 10 M 
gdbm-deve x86 64  1.8.0-36.e16 base 25 k 
libevent-devel x86 64 1.4.13-1.el6 base 284 k 
libpcap-develx86 64 14:1.0.0-6.20091201git117cb5.e16 base 97k 
libtool x86 64  2.2.6-15.5.e16 base 564 k 
rrdtool x86 64  1.3.8-6.e16 base 293 k 
rrdtool-develx86 64 1.3.8-6.e16 base 28 k 
zlib-devel x86 64 1.2.3-25.e16 base 43 k 
Installing for dependencies: 
cloog-ppl X86 64  0.15.7-1.2.e16 base 93 k 
Cpp X86 64  4.4.4-13.e16 base 3.7 M 
dejavu-lgc-sans-mono-fonts noarch2.30-2.e16 base 393 k 
dejavu-sans-mono-fonts noarch 2.30-2.e16 base 450 k 


glibc-devel x86 64 2.12-1.7.e16 0.5 updates 961 k 
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glibc-headersx86 64  2.12-1.7.e16 0.5 updates 592 k 
kernel-headers x86 64 2.6.32-71.29.1.e16 updates 991 k 
mpfr x86 64  2.4.1-6.e16 base 157 k 
ppi x86 64  0.10.2-11.el6 base 13 N 
Updating for dependencies: 

Glibc x86_64  2.12-1.7.e16 0.5 updates 3.7 M 
glibc-common x86 64 2.12-1.7.e16 0.5 updates 14 M 


Transaction Summary 


Install 19 Package (s) 
Upgrade 2 Package (s) 
Total download size: 39 M 


安装 GeolP 


在 安装 ntop 软 件 前 ， 必 须要 安装 GeoIP 软 件 ， 由 于 此 软件 无 法 使 用 YUM 在 线 更 新 安装 ， 所 
以 必须 自行 下 载 安 装 。 
[root@localhost~]#wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP.tar.gz// 下 载 
[root@localhost ~]# tar -zxvf GeoIP.tar.gz // 解 压缩 GeoIP 软件 
[root@localhost ~]# cd GeoIP* // 进 入 GeoIP 安装 目录 
[root@localhost GeoIP-1.4.8]# ./configure // 编 译 安装 GeoIP 软件 
-中 间 省 略 … 
[root@localhost GeoIP-1.4.8]# make 
中间 和 省略.… 
[root@localhost GeoIP-1.4.8]# make install 
<- 中间 省 略 … 


文件 来 源 : http://geolite.maxmind.com/download/geoip/api/c/. 
版 本 号 请 与 实际 发 行 版 对 应 。 
出 现 Zlib header ( zlib.h ) not found， 代 表 zlib-devel、zlib-static 没 有 安装 。 


checking for zlib.h... no 


configure: error: Zlib header (zlib.h) not found. Tor requires zlib to build. 
You may need to install a zlib development package. 


下 载 ntop 软 件 


所 有 必 备 软件 安装 完成 后 ， 接 下 来 就 是 下 载 ntop 软 件 ， 使 用 wget 方 式 下 载 ， 下 载 完 成 后 解 
压缩 ntop 文 件 。 
[root@localhost ~]# wget 


http: //sourceforge.net/projects/ntop/files/ntop/Stable/ntop-4.1.0.tar.gz 


// FK ntop 软件 
[root@localhost ~]# tar -zxvf ntop-4.1.0.tar.gz // 解 压缩 ntop 软件 
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© EA 


文件 来 源 : ttp://sourceforge net/projects/ntop/files/ntop/Stable/. 


版 本 代号 请 与 实际 发 行 版 对 应 。 


安装 ntop 软 件 
解压 缩 完成 后 ， 就 可 以 安装 ntop 软 件 了 ， 进 入 解压 缩 后 的 ntop 程 序 目录 ， 然 后 开始 安装 。 

[root@localhost ~]# cd ntop-* // 进 入 ntop 安装 目录 

[root@localhost ntop-4.1.0]# ./autogen.sh // & ntop 

-中间 省 略 .… 

[root@localhost ntop-4.1.0]# make 

“中间 省 略 .… 

[root@localhost ntop-4.1.0]# make install 

-中间 省 略 … 


若 没有 安装 GeoIP, 则 会 出 现 以 下 错误 , GeoIP 无 法 以 yum 方 式 安装 , 必须 要 自行 下 载 安 装 。 


Removing dups and misplaced entries from LIBS and INCS... 
checking for GeoIP record by ipnum in -1GeoIP... no 
checking for GeoIP name by ipnum v6 in -1GeoIP... no 
Please install GeoIP (http://www.maxmind.com/) 


25.2 创建 ntop 用 户 账号 和 密码 
ntop 软 件 安装 完成 后 ， 需 要 创建 htop 用户， 并 配置 ntop 目 录 的 用 户 与 用 户 组 权限 。 


[root@localhost ~]# useradd -M -s /sbin/nologin -r ntop 
[root@localhost ~]# chown -R ntop:root /usr/local/var/ntop/ 
[root@localhost ~]# chown -R ntop:ntop /usr/local/share/ntop 


创建 ntop 用 户 密码 时 ， 需 要 输入 两 次 密码 ， 才 能 完成 配置 。 


[root@localhost ~]# ntop -A 
Fri Sep 14 23:20:30 2011 NOTE: Interface merge enabled by default 


Fri Sep 14 23:20:30 2011 Initializing gdbm databases 

Fri Sep 14 23:20:30 2011 Setting administrator password... 
ntop startup - waiting for user response! 

Please enter the password for the admin user: 


Please enter the password again: 
Fri Sep 14 23:20:39 2012 Admin user password has been set 


Fri Sep 14 23:20:39 2012 Admin password set... 
[rootelocalhost ~]# 


// 输 入 两 次 密码 
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配置 防火 墙 


ntop 使 用 的 端口 为 3000， 必 须 在 防火 墙 配置 文件 中 开启 该 端口 ， 才 可 以 对 外 连接 。 


[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3000 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


修改 防火 墙 配置 后 ， 必 须 重新 启动 防火 墙 服务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: [OK SI 
iptables: Setting chains to policy ACCEPT: filter [AG S00 | 
iptables: Unloading modules: [ES 
iptables: Applying firewall rules: [ OK ] 


启动 ntop 服 务 


- 切 配置 就 绪 后 就 可 以 启动 ntop 了 ， 将 ntop 配 置 为 默认 启动 ， 以 免 重 新 启动 系统 后 忘记 局 
动 该 服务 ， 导 致 无 法 收集 监控 网 络 信息 。 


[root@localhost ~]# /usr/local/bin/ntop -d -L -u ntop -P /usr/local/var/ntop 
--skip-version-check --use-syslog-daemon 

Fri Sep 14 23:26:01 2012 NOTE: Interface merge enabled by default 

Fri Sep 14 23:26:01 2012 Initializing gdbm databases 

[root@localhost ~]# vi /etc/rc.local 

#!/bin/sh 

# 

# This script will be executed *after* all the other init scripts. 

# You can put your own initialization stuff in here if you don't 

# want to do the full Sys V style init stuff. 

touch /var/lock/subsys/local 

/usr/local/bin/ntop -d -L -u ntop -P /usr/local/var/ntop --skip-version-check 
--use-syslog=daemon 
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25.3 测试 ntop 服 务 


打开 浏览 器 ， 输 入 【http://IP 地 址 :3000】)〗， 有 许多 选项 可 以 查看 目前 环境 
不 过 收集 网 络 信 息 需 要 一 段 时 间 ， 以 后 数据 会 不 断 更 新 。 
[miop | — 


Si 


Abou Summary AllProrocols |? Lie Plugine Admin 


Global Traffic Statistics 
‘Name [Device] Type [Speed|Sampung Eae]MTU|Header] Address [lho Addressee 
Network Intarface(e) 
lero P| emo ethernet] J 1514| 13 [192.168 233.10] 70 
CEN enun 
[Semorina since ETE F544 2012 (4 
[Foses 16 active B 7 tora BA 


Traffic Report for “ethO' [wirer] 


Dropped (libpcap) oox| ol 
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phpMyVisites 官 方 网 站 : http://www.phpmyvisites.us/。 

phpMyVisites 是 一 款 免 费 的 网 站 流量 统计 系统 ， 支 持 多 国语 言 ， 统 计 的 数据 包含 许多 方 
面 ， 功 能 强大 ， 不 方便 的 地 方 是 要 在 每 处 都 使 用 JavaScript 才 可 以 统计 ， 有 点 儿 美中不足 ， 不 
过 这 款 软件 本 身 还 是 相当 棒 的 。 

phpMyVisites 官 方 Demo 网 站 : http://www.phpmyvisites.us/phpmv2/ 

刚 创建 好 的 phpMyVisites 系 统 没 任何 数据 ， 因 为 统计 网 络 流量 需要 一 定 的 时 间 ， 为 了 熟悉 
phpMYyVisites 系 统 的 各 项 功能 ， 可 以 先 到 官方 的 Demo 网 站 查看 。 

下 面 介 绍 如 何 安装 和 配置 phpMyVisites 服 务 ， 然 后 利用 检测 到 的 数据 ， 生 成 网 站 的 统计 数 

据 。 


26.1 安装 必 备 软件 


为 了 能 够 正常 使 用 phpMyVisites 服 务 ， 必 须 安装 Apache、php、php-mysql、 php-gd、freetype 
软件 可 以 使 用 yum 在 线 更 新 方法 安装 。 
[root@localhost ~]# yum install -y httpd php-mysql php-gd freetype 


Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 

Httpd x86 64  2.2.15-5.e16.centos base 811 k 
php-gd X86 64  5.3.2-6.e16 0.1 updates 103 k 
php-mysql x86 64  5.3.2-6.e16 0.1 updates 75 k 
Updating: 

Freetype x86 64  2.3.11-6.e16 0.2 updates 359 k 
Installing for dependencies: 

apr x86 64  1.3.9-3.e16 0.1 updates 124 k 
apr-util x86 64  1.3.9-3.e16 0.1 updates 87 k 


apr-util-ldap x86 64  1.3.9-3.el6 0.1 updates 15 k 
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httpd-tools x86 64  2.2.15-5.el6.centos base 68 k 
libXpm X86 64  3.5.8-2.e16 base 59 K 
php-common X86 64  5.3.2-6.e16 0.1 updates 516 k 
php-pdo X86 64  5.3.2-6.e16 0.1 updates 72 k 


Transaction Summary 


Install 10 Package (s) 
Upgrade 1 Package (s) 
Total download size: 2.2 M 


下 载 并 安装 phpMyVisites 服 务 


使 用 wget 命 令 下 载 phpmyvisites 压 缩 文件 进行 安装 ， 安 装 办 法 十 分 简单 ， 如 下 所 示 ， 将 
phpmyvisites 文 件 解压 缩 ， 解 压缩 后 的 目录 名 称 为 phpmv2， 将 phpmv2 复 制 到 Apache 网 页 主 目 
录 ， 并 将 phpmv2 重 命名 为 phpmv。 


[root@localhost ~]# wget http://www.phpmyvisites.us/phpmyvisites 2 4.zip 
/[ VÀ phpmyvisites 安装 文件 


-中间 省 略 … 

[root@localhost ~]# unzip phpmyvisites 2 4.zip // 解 压缩 phpmyvisites 
中间 省 略 .… 

[root@localhost ~]# mv phpmv2 /var/www/html/phpmv // 复 制 目录 并 重 命名 


启动 Apache 服务 


Apache 网 页 服务 器 安装 完成 后 ， 需 要 启动 Apache 服 务 ， 这 样 才 可 以 安装 phpMyVisites。 为 
了 方便 提供 phpMyVisites 服 务 ， 请 将 Apache 配 置 为 默认 启动 。 


[root@localhost ~]# service httpd start 
Starting httpd: [20K j 
[root@localhost ~]# chkconfig httpd on 


配置 防火 墙 


phpMyVisites 系 统 用 到 了 Apache 服 务 ， 所 以 必须 在 防火 墙 配置 中 开启 80 端 口 ， 这 样 才 可 以 
对 外 连接 。 


[rootGlocalhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 
# Manual customization of this file is not recommended. 
*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
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-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


防火 墙 配 置 完成 后 ， 必 须 重 新 启动 防火 墙 服务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: [ OK ] 
iptables: Setting chains to policy ACCEPT: filter | | 
iptables: Unloading modules: [ OK ] 
iptables: Applying firewall rules: [ OK ] 


创建 数据 库 


创建 一 个 提供 phpMyVisites 的 数据 库 ， 数 据 库 名 称 为 phpmv。 有 关 如 何 安装 MySQL 请 参考 
MySQL 相 关 配 置 ， 这 里 不 再 多 说 。 


[root@localhost ~]# mysql -u root -p 

Enter password: 

Welcome to the MySQL monitor. Commands end with ; or \g. 

Your MySQL connection id is 3 

Server version: 5.1.52 Source distribution 

Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. 
This software comes with ABSOLUTELY NO WARRANTY. This is free software, 

and you are welcome to modify and redistribute it under the GPL v2 license 
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 


mysql> create database phpmv; // 创 建 phpmv 数据 库 
Query OK, 1 row affected (0.00 sec) 
mysql> show databases; // 查 看 所 有 数据 库 


4 rows in set (0.00 sec) 
mysql> quit // 退 出 MysQL 服务 
Bye 


26.2 安装 并 配置 phpMyVisites 服务 


打开 浏览 器 前 请 先 将 SELinux 关 闭 。 在 浏览 嚣 中 输入 【http:// 下 或 网 址 /phpmv】， 会 提示 
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phpmv 安 装 文件 需要 配置 权限 ， 显 示 信息 提示 文件 权限 配置 为 735， 为 了 能 够 正常 安装 
phpMyVisites 服务 ， 建 议 设 为 777， 另 外 需要 在 /datas 目 录 下 创建 系统 需要 的 目录 。 


Problen! 
Cannot write in the folder(s) 


» [config 

» [datas 

+ /datas/archives 

» /datas/cache_artichow 

» /datas/cache_lite 

» /datas/cache_smarty 

+ /datas/tpl_compiled 

+ Try to chmod the phplyVisites root directory also 


Please verify that you have the rights necessary to create files on the server (try to CHIOD 755 
the folder with your FTP software : right click on the directory — Permissions (or CHNOD). 


If the CHIOD doesn’ t work with your FTP software, try to delete (if it exists) the directories, 
and create them with your FTP software, 


进入 phpmv 目 录 ， 在 datas 目 录 下 创建 archives、cache artichow、cache lite, cache smarty, 
tpl_compiled 目 录 ， 然 后 将 datas 及 config 目 录 权 限 配置 为 777， 重 新 整理 后 ， 刷 新 浏览 器 ， 就 不 
会 有 警告 信息 ， 而 是 显示 phpMyVisites 安 装 画 面 。 
[root@localhost ~]# cd /var/www/html/phpmv 
[root@localhost phpmv]# mkdir datas/archives datas/cache artichow datas/cache lite 


datas/cache smarty datas/tpl compiled 
[root@localhost phpmv]# chmod 777 config | chmod 777 -R datas 


选择 语言 ， 默 认为 English， 若 要 使 用 简体 中 文 ， 选 择 【Simplified Chinese]. 


phplflyUisices 


* Welcome! 


Welcome! 


Welcome to the phpMyVisites instalation. 


This process is splt up into 9 easy steps and will take around 10 
minutes. 


At the end of installation, a request will bs mado to the official site to 


help us keep track of the number of people using phpMyVisites. Thank 
you for your understanding, 


Go to next step 


> Installation Status 


简体 中 文安 装 向 导 欢 迎 界面 如 下 所 示 ， 通 过 9 个 步骤 依 序 安装 即 可 ， 按 【下 一 步 】。 
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cas 
aua T | ERE 
L ‘Simplified Chinese, 
fa Phplylisices E 
2 欢迎 使 用 安装 向 导 
XE phpMy sites SAE, 
deudestoq82858, AEBS. 
SORSUER Dia RR 09888 phpMyVisites ER, HSE 
FARR AES, HECTOR 
Ee 
一 安装 情况 
LL ELI 


检查 系统 环境 ， 如 果 成 功 ， 如 下 图 所 示 ， 按 【下 一 步 】 


一 需求 


PHP version > 4.3 edd 
Mysql extension L4 
PHP-XML extension (utf8. decode function) w^ 


V /config 

Ww /datas 

v. [datas/archives 
Y 


[datas/cache artichow 
v /datas/cache lite 
s 


/datas/cache_smarty 
L4 


Jdatas/tpl compiled 


配置 数据 库 ， 输 入 数据 库 相 关 信 息 ， 这 里 可 以 使 用 已 创建 的 phpmv 数 据 库 ， 输 入 完成 后 ， 
按 【 提 交 】。 


请 洽 入 数据 库 设置 


一 常规 


+ [root 


: localhost] 


: [phpmv 
: [phpmv_ 


提交 
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phpMyVisites 服 务 与 MySQL 服 务 如 果 在 同一 全 服务 器 上 ， 则 输入 localhost， 如 果 不 是 请 输 


入 数据 库 服务 器 地 址 。 


如 果 数 据 库 连 接 失败 ， 就 不 能 正常 进行 下 一 步 的 操作 了 ， 如 果 数 据 库 连 接 成 功 ， 如 下 图 所 
示 ,， 按 【下 一 步 】 


数据 库 连 接 成 功 ! 


acm d 


数据 库 连接 成 功 后 ， 就 会 创建 系统 所 使 用 的 数据 表 ， 创 建 数 据 表 成 功 信息 如 下 图 所 示 ， 按 
【下 一 步 ]。 如 果 数 据 表 创建 失败 ， 则 无 法 继续 下 一 步 的 操作 。 


在 【管理 配置 】 中 会 创建 超级 管理 员 (最 大 权限 ) 账号 、 密 码 及 电子 邮箱 ， 如 下 图 所 示 。 
管理 配置 


phpMyVisites 仅 提 供 一 个 拥有 全 部 权限 的 超级 管理 员 ， 请 输入 该 管理 员 的 用 户 名 
及 密码 ， 此 后 您 可 以 添加 其 他 不 同 权限 的 用 户 。 


~ General - phpMyVisites 


超级 管理 员 帐号 
超级 管理 员 密 码 : . 
确认 密码 ; eeeee 
超级 管理 员 Emall jerry@jerryit.idv.cn 
每 日 接收 各 站 点 统计 Email? C 
Cm 
每 周 开始 时 间 星期 一 
个 星期 日 


程序 的 完整 访问 路 径 是 Apache 网 页 主 目录 下 的 phpMyVisites 程 序 目录 ， 如 果 有 真实 的 网 
址 ， 请 修改 网 址 信息 ， 如 果 没 有 ,暂时 使 用 耳 地 址 ， 默 认 语 言 不 变 ， 设 为 【Simplified Chinese], 
按 【 提 交 】。 


程序 的 完整 访问 路 径 http://192.168.233.10/phpmv 


NM Eau Simplified Chinese x] 


管理 员 信 息 配置 成 功 后 ， 会 出 现 如 下 信息 ， 按 【下 一 步 】。 
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管理 员 信息 输入 成 功 


下 一 步 


对 于 高 级 选项 ， 可 以 使 用 默认 配置 ， 按 【提交 】 


一 高 级 选项 (可 选 ) 


记录 变量 ? (ur 变量 ) | 记录 所 有 ur 变量 
C igure 
个 记录 指定 变量 
个 记录 除 指定 外 变量 
变量 名 G 独立 列表 ) 
例如 : id;data;page 
PDF 报告 ; EZG] 
用 户 可 视界 面 : [Defaut =] 


提交 


成 功 创建 站 点 后 ， 按 【下 一 步 】 


成 功 建立 站 点 ! 


T—E 


若 想 统计 所 有 的 访问 量 ， 必 须 将 以 下 JavaScript 代 码 插 入 到 所 要 统计 的 网 页 中 ! 网 页 不 
定 要 使 用 PHP 语 言 编程 _ phpMyVisites 适用 于 所 有 的 网 页 语言 (如 HTML、ASP、Perl 等 语言 )， 
按 【 下 一 步 】 


显示 javascript 调 用 代码 


要 实现 网 站 统计 , 您 需要 将 Javascnpt 代 码 插入 到 要 统计 的 页 面 中 。 


您 的 网 站 不 一 定 要 使 用 PHP 语 言 编写 , phpMyVisites 适用 于 所 有 的 网 页 语言 
(包括 HTML, ASP, Perl 等 语言 )。 


以 下 是 您 需要 插入 页 面 的 代码 : (复制 并 粘贴 在 您 的 而 面 中 )。 


«1-- phpmyvisites 
<a href="http://www.phpmyvisites.us/* title="phpMyVisites 免费 的 网 站 统 
LER LLLI 
onclickz*window.open(this.href);retum(false);*» «script 
typez"text/javascript*» 

<i- 

var a_vars = Array(); 

var pagename="; 


var phpmyvisitesSite = 1; 
var phpmyvisitesURL = 
“http://192.168.233.10/phpmv/phpmyvisites.php"; 

I 

</script> 

«script language="javascript* 
src=“http://192.168.233.10/phpmv/phpmyvisites.js” 
type="text/javascript"></script> 
<object><noscript><p>phpMyVisites 免费 的 网 站 统计 、 流 里 分 析 软 件 
<img srcz"http://192.168.233.10/phpmv/phpmyvisites.php* 
altz"Statistics* stylez"border:0* /> 

</p></noscript></object></a> 
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phpMYyVisites 安 装 成 功 后 ， 单 击 【进入 phpMyVisites!】 ， 进 入 网 站 。 


完成 安装 
RB! 您 的 phpMyVisites 已 经 成 功 安装 
请 确认 您 的 页 面 中 已 经 放置 javascriptHk 吕 ,并 等 待 第 一 位 访客 ! 
进 A phpMyVisites! 


26.3 浏览 phpMyVisites 网 站 


进入 phpMyVisites 网 站 前 ， 必 须要 输入 超级 管理 员 账号 和 密码 才 可 以 登录 。 
Het phphiyVisices 


RBA pheMyVisites MENI 


we 


jerry 


登录 phpMyVisites 统 计 网 站 后 ， 显 示 如 下 信息 ， 刚 开始 浏览 时 没有 任何 数据 。 


Qu phpMyVisites 


amas | mons | cawe | waar | omas | wras | waen 
gaan 
[| 


Welcome in phpmyvisites 2.3 


You can enable the Hestmap plugn in the administration panel, then did the plugns section. 


reac the changelog for thes release 


进入 phpMyVisites 系 统管 理 页 面 ， 可 以 进行 系统 配置 ， 如 下 图 所 示 。 
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see 


phpltiyVisices m m 


fected for administration : www. jerryit.idv.cn (id = 2) 
系统 管理 


XipssiphpHyvsitesE EE. AEE ENES. gets ubt BALA 


-管理 于 一 站 点 管理 只 


APER 


1 BETON) 
z ae 
3. AP 


将 JavaScript 代 码 添加 到 网 页 进行 统计 


将 JavaScript 代 码 添加 到 个 人 网 页 在 【系统 管理 】 页 面 中 按 下 【显示 JavaScript 统计 代码 】 
会 出 现下 图 所 示 的 信息 。 


Site selected for administration : www.jerryit.idv.en (id = 1) 
显示 javascript 调 用 代码 
NUMEN, ORME avas ro tiA A MU SEG. 
LET — TRON, phpwyvistes MAF AMMO (Its HIM, ASP, Peri A). 
SLTRSRIBATIBD*R: MAREE SEED). 


在 /var/www/html 目 录 下 创建 index.htm 网 页 ， 将 以 下 内 容 输 入 到 index.htm 网 页 里 ， 输 入 完 
成 后 保存 退出 。 


[root@localhost ~]# vi /var/www/html/index.htm 

«1-- phpmyvisites --> 

«a href-"http://www.phpmyvisites.us/" title-"phpMyVisites | 开放 源 代码 的 网 站 流量 统计 软件 " 
onclick-"window.open (this.href) ;return (false) ;"»«script type="text/javascript"> 
e 

var a vars = Array () ; 

var pagename-''; 

var phpmyvisitesSite - 1; 

var phpmyvisitesURL - "http://192.168.233.10/phpmv/phpmyvisites.php"; 

Wess 

</script> 
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«script language-"javascript" src="http://192.168.233.10/phpmv/phpmyvisites.js" 
type="text/javascript"></script> 

<object><noscript><p>phpMyVisites | 开放 源 代 码 的 网 站 流量 统计 软件 

«img src-"http://192.168.233.10/phpmv/phpmyvisites.php" alt-"Statistics" 
style-"border:0" /> 

</p></noscript></object></a> 


<!-- /phpmyvisites --> 
打开 浏览 器 ， 输 入 【http://IP 地 址 /index.htm】)， 夯 面 如 下 图 所 示 。 


[Eozilla Firefox 
XO Wc FEV HLO FEW IAV AHW 
e @ 192.168.239. 10/index htsl e| 


站 phylyyisites | 用 于 统计 分 析 网 站 | ) http: //192. 169.233. 10/index. htal xe 


iaa 

mère 

amma 

AES 20 
TUNBÜNUEESRÉ 20 
tips LI 
ART 458 
simae o% 


网 站 页 面 都 要 添加 JavaScript 代 码 ， 才 会 统计 所 有 页 面 。 
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Webalizer 一 一 日 志文 件 分 析 工 具 


Webalizer 官 方 网 站 : http://www.mrunix.net/webalizer/。 

Webalizer 是 一 款 高 效 的 、 免 费 的 Web Server 日 志文 件 分 析 软 件 ， 它 除了 能 够 分 析 Apache 
Web Server 所 产生 的 log 日 志文 件 之 外 ， 还 能 够 分 析 FTP 的 Log 日 志 ， 并 以 相当 精美 的 HTML 
网 页 输出 ， 目 前 许多 网 站 都 使 用 这 一 款 软件 作为 网 站 日 志 分 析 工 具 。 

Webalizer 官 方 下 载 : http://www.mrunix.net/webalizer/download.html. 

Webalizer 可 以 使 用 YUM 方 式 安装 。 


27.1 安装 Webalizer 


安装 Webalizer 软 件 


使 用 Webalizer 软 件 需 要 httpd 的 支持 ， 可 使 用 YUM 在 线 更 新 方式 安装 所 有 软件 。 


[root@localhost ~]# yum install -y webalizer httpd 
Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 

httpd x86 64 2.2.15-5.e16.centos base 811 k 
webalizer x86 64 2.21 02-3.3.e16 base 128 k 
Installing for dependencies: 

apr x86 64 1.3.9-3.e16_0.1 updates 124 k 
apr-util x86_64 2.3:9-3.e16_0-1 updates 87 k 
apr-util-ldap x86 64 1.3.9-3.e16_ 0.1 updates 15k 
gd x86 64 2.0.35-10.e16 base 142 k 
httpd-tools x86 64 2.2.15-5.e16.centos base 68 k 
libXpm x86 64 3.5.8-2.e16 base Sk) k 


Transaction Summary 
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Install 8 Package (s) 
Upgrade 0 Package (s) 
Total download size: 1.4 M 


配置 Webalizer 


编辑 Webalizer 配 置 文件 ， 例 如 连接 允许 Webalizer 服 务 的 耳 地 址 是 192.168.233.100， 如 果 要 
全 部 都 允许 连接 ， 只 要 将 Deny from al 参数 改 成 Allow from all 参 数 ， 就 可 以 让 所 有 用 户 连接 ， 
不 过 建议 配置 单一 用 户 ， 这 样 可 保证 Webalizer 服 务 的 安全 。 


[root@localhost ~]# vi /etc/httpd/conf.d/webalizer.conf 

# This configuration file maps the webalizer log analysis 
# results (generated daily) into the URL space. By default 
# these results are only accessible from the local host. 
Alias /usage /var/www/usage 


<Location /usage> 
Order deny,allow 
# Deny from all 
Allow from 192.168.233.100/255.255.255.0 
Allow from 127.0.0.1 
Allow from ::1 
# Allow from .example.com 
</Location> 


配置 防火 墙 


Webalizer 服 务 需 要 Apache 服 务 的 支持 ， 所 以 需要 在 防火 墙 配置 中 开启 80 端 口 ， 这 样 才 可 
以 对 外 连接 。 


[root@localhost ~]# vi /etc/sysconfig/iptables 

# Firewall configuration written by system-config-firewall 

# Manual customization of this file is not recommended. 

er 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

COMMIT 


340 


Webali 


防火 墙 配 置 完成 后 ， 必 须 重新 启动 服务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: [ OK 
iptables: Setting chains to policy ACCEPT: filter [ OK 
iptables: Unloading modules: [ OK 
iptables: Applying firewall rules: [ OK 


启动 Apache 服务 


- 切 配置 完成 后 ， 就 可 以 启动 Apache 服 务 了 。 将 Apache 配 置 为 系统 默认 启动 。 


[root@localhost ~]# service httpd start 


Starting httpd: [ OK ] 


[root@localhost ~]# chkconfig httpd on 


生成 Webalizer 日 志文 件 


第 27 章 


zer 一 一 日 志文 件 分 析 工 具 


生成 Webalizer 日 志文 件 ， 第 一 次 浏览 webalizer 服 务 没有 任何 信息 ， 建 议 执 行 两 次 webalizer 


命令 ， 因 为 有 时 执行 一 次 也 没有 画面 。 


[root@localhost ~]# /usr/bin/webalizer 
No valid records found! 
[root@localhost ~]# /usr/bin/webalizer 


利用 cron 生 成 日 志文 件 
使 用 计划 任务 生成 日 志文 件 ， 例 如 配置 每 30 分 钟 生成 一 次 数据 。 


[root@localhost ~]# crontab -e 
*/30 * * * * root /usr/bin/webalizer 


27.2 测试 Webalizer 服 务 


在 浏览 器 中 输入 【http://IP 或 网 址 /usage/】])， 浏 览 画面 如 下 图 所 示 ， 有 图 表 ， 也 有 数据 。 
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sage Statistics for localhost. localdomain 


[summer by Month 
|cenzrared 05-Sep-2012 ni-as CST 


统计 数据 : 


Senery Perisai Septaaber 2012 
T Se a esr 


220 s 
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LAMP 是 目前 CentOS 操 作 系 统 创建 网 站 的 基本 需求 软件 ， 网 站 网 页 程序 都 以 PHP 语 言 开 
A, 创建 网 站 的 方法 大 同 小 异 ， 都 以 LAMP 为 主 。 所谓 LAMP 是 一 个 缩写 ,是 指 Linux 操 作 系 统 、 
Apache 网 页 服务 器 、MySQL 数 据 库 、 PHP 网 页 编程 语言 所 组 成 ,在 Windows 操 作 系 统 中 , LAMP 
中 的 LL 其 实 可 以 是 W，W 就 是 Windows 不 过 在 此 不 做 介绍 。 此 章节 所 介绍 的 网 站 创建 软件 ， 都 
必须 要 先 配 置 好 LAMP 环 境 ， 和 否则 无 法 进行 安装 。 


LAMP 系 统 需求 


LAMP 环 境 是 创建 网 站 的 基本 需求 ， 配 置 前 请 先 确认 是 否 符合 所 有 要 求 。 


基本 需求 软件 名 称 
操作 系统 
创建 网 站 
数据 库 


网 页 支持 语言 


28.1 安装 Apache、MySQL、PHP 软 件 


Apache、MySQL、PHP 服 务 运行 在 CentOS 操 作 系统 上 ， 所 以 一 定 要 先 安装 CentOS 操 作 系 
统 ， 要 安装 的 软件 详细 资料 ， 如 下 表 所 示 。 
Apache 网 站 配置 httpd 


MySQL 数据 库 myeal 
mysgl-server 
php 
hp-mbstrin 
PHP 网 页 语言 php-mbstring 字符 集 编码 


php-gd 图 形 识 别 码 
php-mysql 连接 MySQL 数据 库 
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首先 安装 Apache、MySQL、PHP 软 件 ， 确 认 所 有 软件 都 已 安装 ， 否 则 以 后 配置 软件 会 失败 。 


[root@localhost ~]# yum install -y httpd mysql mysql-server php php-mbstring php-gd 
php-mysql 
Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 

httpd x86_64 2.2.15-5.e16.centos base 811 k 
mysql x86 64 b T 52-I-ei6sord updates 889 k 
mysql-server x86 64 5.1.52-1.616 0.1 updates 8.1M 
php x86_64 Beeler iS fails 0-1 updates 1.1M 
php-gd x86 64 5.3.2-6.e16 0.1 updates 103 k 
php-mbstring x86 64 5.3.2-6.616_ 0.1 updates 504 k 
php-mysql x86_64 5.3.2-6.e16 0.1 updates J5 E 
Installing for dependencies: 

apr x86_64 2-3-9-3.616_0:1 updates 124 k 
apr-util x86_64 1.3.9-3.616 0.1 updates 87 k 
apr-util-ldap x86_64 3.3.9-3.816:0.1 updates 15k 
httpd-tools x86_64 2.2.15-5.e16.centos base 68 k 
libXpm x86 64 3-5.8-2.616 base 59 k 
perl-DBD-MySQL x86_64 4.013-3.e16 base 134 k 
php-cli x86 64 5.3.2-6.e16 0.1 updates 2.2 M 
php-common x86 64 5.3.2-6.e16 0.1 updates 516 k 
php-pdo x86 64 5-3.2-6.616 0-1 updates 72 k 
Updating for dependencies: 

mysql-libs x86 64 5.1.52-1.el6 0.1 updates 1.2 M 


Transaction Summary 


Install 16 Package (s) 
Upgrade 1 Package (s) 
Total download size: 16 M 


28.2 配置 Apache 


编辑 Apache 配 置 文件 ， 配 置 ServerName 参 数 ， 此 参数 在 CentOS 6.x 版 本 以 前 是 不 需要 配置 
的 ， 但 是 CentOS 6.x 之 后 就 必须 要 配置 ， 不 配置 就 会 出 现 警告 信息 ， 但 是 可 以 正常 启动 ， 
ServerName 参 数 若 目 前 没有 FQDN， 则 只 要 将 # 号 删除 ， 待 往 后 再 进行 配置 即 可 。 

检查 Apache 支 持 的 字符 集 编码 ， 这 个 配置 要 根据 软件 编码 是 UTF-8 还 是 GB2312 来 确定 ， 
Apache 默 认 编 码 为 UTF-8， 若 要 安装 的 软件 编码 为 GB2312， 则 必须 修改 为 GB2312， 不 然 会 出 
现 乱 码 问 题 。 

配置 索引 首页 优先 级 ， 所 谓 的 索引 首页 优先 级 ， 就 是 说 在 浏览 器 输入 【http:// 网 址 或 1P 地 
址 /index.html】)， 如 果 有 配置 索引 首页 ， 只 要 输入 【http:// 网 址 或 下 地 址 】， 就 可 以 打开 网 站 首 
页 ，Apache 默 认 索 引 首 页 文件 为 index.html， 如 果 创建 的 网 站 使 用 PHP 语 言 页 面 ， 则 首页 文件 
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名 通常 为 indexphp， 为 了 方便 使 用 者 ， 建 议 在 mdex.html 前 面 加 上 index.php， 让 index.php 作 为 
默认 的 索引 首页 。 


[root@localhost ~]# vi /etc/httpd/conf/httpd.conf // 编 辑 Apache 配置 文件 
ServerName gives the name and port that the server uses to identify itself. 
This can often be determined automatically, but we recommend you specify 
it explicitly to prevent problems during startup. 


If this is not set to valid DNS name for your host, server-generated 
redirections will not work. See also the UseCanonicalName directive. 


If your host doesn't have a registered DNS name, enter its IP address here. 
You will have to access it by its address anyway, and this will make 
redirections work in a sensible way. 


dt db dE dt db dE dE dk db 3b db 


ServerName www.example.com:80 // 默 认 未 配置 ， 将 # 号 删除 
— AIL. 

# DirectoryIndex: sets the file that Apache will serve if a directory 

# is requested. 

# 

# The index.html.var file (a type-map) is used to deliver content- 

# negotiated documents. The MultiViews Option can be used for the 

# same purpose, but it is much slower. 

# 

DirectoryIndex index.php index.html index.html.var 


— AM... // 网 站 默认 索引 首页 文件 ， 建 议 加 上 index.php 


# Specify a default charset for all content served; this enables 

# interpretation of all content as UTF-8 by default. To use the 

# default browser choice (ISO-8859-1) , or to allow the META tags 

# in HTML content to override this choice, comment out this 

# directive: 

# 

AddDefaultCharset UTF-8 // 默 认为 UTF-8， 若 软件 编码 为 GB2312， 必 须 修改 为 GB2312 


28.3 启动 Apache 和 MySQL 服 务 


Apache 服 务 配置 完成 后 ， 接 下 来 就 可 以 启动 Apache 和 和 MySQL 服务 了 ，PHP 不 是 应 用 服务 ， 
所 以 无 需 启动 。 


[root@localhost ~]# service httpd start //Ja#) Apache 服务 
Starting httpd: Eek 7 
[root@localhost ~]# service mysqld start 


// Mysal 默认 第 一 次 启动 会 有 说 明 ， 下 次 启动 则 不 会 再 出 现 


Initializing MySQL database: Installing MySQL system tables... 
OK 

Filling help tables... 

OK 

To start mysqld at boot time you have to copy 
support-files/mysql.server to the right place for your system 
PLEASE REMEMBER TO SET A PASSWORD FOR THE MySQL root USER ! 

To do so, start the server, then issue the following commands: 
/usr/bin/mysqladmin -u root password 'new-password' 
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/usr/bin/mysqladmin -u root -h localhost.localdomain password 'new-password' 

Alternatively you can run: 

/usr/bin/mysql secure installation 

which will also give you the option of removing the test 

databases and anonymous user created by default. This is 

strongly recommended for production servers. 

See the manual for more instructions. 

You can start the MySQL daemon with: 

cd /usr ; /usr/bin/mysqld safe & 

You can test the MySQL daemon with mysql-test-run.pl 

cd /usr/mysql-test ; perl mysql-test-run.pl 

Please report any problems with the /usr/bin/mysqlbug script! 
PEOR 

Starting mysqld: [ OK ] 


Apache 及 MySQL 服 务 为 LAMP 的 必要 服务 ， 所 以 必须 配置 为 开机 默认 启动 ， 以 免 重新 启 
动 系统 后 忘记 启动 这 些 服 务 ， 导 致 无 法 使 用 。 


[root@localhost ~]# chkconfig httpd on // 配 置 Apache 默认 启动 
[root@localhost ~]# chkconfig mysqld on // 配 置 MySQL 默认 启动 


28.4 配置 MySQL 数 据 库 


LAMP 配 置 软件 在 MySQL 数 据 库 方面 ， 有 几 个 操作 是 必要 的 ， 其 操作 方式 如 下 表 所 示 。 


操作 信息 
启动 数据 库 
暂停 数据 库 service mysqld stop 


重新 启动 数据 库 service mysqld restart 
查看 数据 库 是 否 运行 service mysqld status 


下 面 配 置 MySQL 数 据 库 密 码 ，MySQL 数 据 库 安 装 好 后 ， 第 一 次 启动 MySQLI 数 据 库 不 用 输 
入 密码 ， 所 以 必须 要 配置 密码 才 比 较 安 全 。 配 置 MySQL 数 据 库 密码 前 ， 记 得 要 先 启动 MySQL 
数据 库 ， 否 则 会 找 不 到 MySQL 数 据 库 。 命 令 说 明 如 下 表 所 示 。 
配置 密码 命令 说 阴 Mysqladmin -u 用户 password 密码 
这 里 配置 root 用 户 账号 ， 密 码 配 置 为 Aa1234567， 配 置 好 MySQL 数 据 库 密码 后 ， 测 试 是 否 
可 以 正常 登录 , 数据库 配 置 密码 后 ， 需 要 在 命令 中 添加 参数 [-p] 登录 成 功 后 , 若 要 退出 MySQL 
数据 库 ， 输 入 【exit】。 


[root@localhost ~]# mysqladmin -u root password Aa1234567 


/ /&& MySQL 用 户 密码 
[root@localhost ~]# mysql -u root -p // 加 上 参数 p， 以 密码 的 方式 登录 
Enter password: // 输 入 所 配置 的 MySQL 密码 


Welcome to the MySQL monitor. Commands end with ; or Mg. 

Your MySQL connection id is 4 

Server version: 5.1.52 Source distribution 

Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. 
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LAMP 


u 


This software comes with ABSOLUTELY NO WARRANTY. This is free software, 

and you are welcome to modify and redistribute it under the GPL v2 license 
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 
mysql> exit // 正 常 登录 后 ， 离 开 MySQL 数据 库 

Bye 


[root@localhost ~]# 


配置 完 MySQL 数 据 库 密 码 后 ， 在 登录 MySQL 数 据 库 时 ， 若 没有 加 上 参数 P， 会 出 现 Access 
denied 警 告 信息 。 


[root@localhost ~]# mysql -u root 
ERROR 1045 (28000) : Access denied for user 'root'G'localhost' (using password: NO) 


使 用 MySQL 数 据 库 最 常见 的 操作 ， 不 外 乎 是 查看 数据 库 、 创 建 数据 库 、 删 除数 据 库 ， 如 
果 要 完成 更 细致 的 操作 ， 建 议 使 用 MySQL 数据库 管理 软件 来 管理 操作 ， 例 如 使 用 phpMyAdmin 
或 免费 的 Navicat for MySQL 软 件 。 

MySQL 数 据 库 的 创建 、 删 除 、 查 看 命令 说 明 如 下 表 所 示 。 


创建 数据 库 create database 数据 库 名 称 ; 
查看 数据 库 
删除 数据 库 drop database 数据 库 名 称 : 


下 面 创 建 一 个 名 为 DB1 的 数据 库 ， 要 先 登录 MySQL 数 据 库 才 可 以 配置 。 


[root@localhost ~]# mysql -u root -p // 登 录 MysQL 数据 库 

Enter password: 

Welcome to the MySQL monitor. Commands end with ; or Mg. 

Your MySQL connection id is 6 

Server version: 5.1.52 Source distribution 

Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. 
This software comes with ABSOLUTELY NO WARRANTY. This is free software, 

and you are welcome to modify and redistribute it under the GPL v2 license 
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 
mysql> create database DB1; / /创建 DB1 数据 库 

Query OK, 1 row affected (0.00 sec) 

mysql> show databases; // 查 看 MYSQL 内 所 有 数据 库 


| DB1 | // 刚 创建 的 DB1 数据 库 


4 rows in set (0.00 sec) 
mysql» drop database DB1; // 删 除 DB1 数据 库 
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Query OK, 0 rows affected (0.00 sec) 


配置 防火 墙 


Apache 及 MySQL 数 据 库 配 置 启动 完成 后 ， 需 要 在 防火 墙 配置 文件 中 开启 Apache 服 务 的 80 
端口 和 MySQL 数 据 库 3306 端 口 ， 若 MySQL 数 据 库 不 对 外 提供 服务 ， 则 无 需 开 启 ， 在 此 示例 中 
都 要 对 外 提供 服务 ， 所 以 防火 墙 必须 配置 Apache 及 MySQL 数 据 库 的 端 [m 


[root@localhost ~]# vi /etc/sysconfig/iptables 
# Firewall configuration written by system-config-firewall 
# Manual customization of this file is not recommended. 
*filter 
:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0] 
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
// 开 启 Apache 服务 80 端口 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT 

// 开 启 MySQL 数据 库 服务 3306 端口 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 


防火 墙 配置 完成 后 ， 必 须 重 新 启动 防火 墙 服务 ， 配 置 才 会 生效 。 


[root@localhost ~]# service iptables restart 


iptables: Flushing firewall rules: [ox] 
iptables: Setting chains to policy ACCEPT: filter [ OK ] 
iptables: Unloading modules: [ox] 
iptables: Applying firewall rules: IORI 


再 次 提醒 ， 利 用 LAMP 软 件 环境 创建 网 站 前 ， 先 将 上 述 环境 配置 好 ， 需 要 将 Apache 及 
MySQL 数 据 库 服务 启动 ， 并 将 服务 设 为 默认 启动 。 
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网 站 管理 系统 


网 站 管理 系统 就 是 将 各 种 网 站 应 用 系统 整合 到 一 个 信息 管理 平台 之 上 ， 主 要 提供 信息 、 搜 
索引 擎 、 聊 天 室 、 论 坛 (BBS)、 免 费 信箱 、 影 音信 息 、 电 子 商 务 、 网 络 社区 、 网 络 游戏 、 免 
费 网 页 空间 等 功能 。 网 站 管理 系统 在 企业 中 较 常 用 ， 目 前 市 面 上 众多 的 网 站 管理 软件 中 ， 使 用 
最 多 的 就 是 &OOPS， 不 过 近 几 年 使 用 Drupal 的 人 也 越 来 越 多 ， 下 面 举例 介绍 如 何 配置 两 种 网 


29.1 XOOPS 内 容 管理 系统 


XOOPS 官 方 网 站 : http://www.xoops.org« 

XOOPS 的 缩写 是 eXtensible Object Oriented Portal System 。XOOPS 是 一 款 开 源 的 内 容 管 理 
系统 ， 衍 生 自 PHP-Nuke， 采 用 PHP 语 言 和 MySQL 数 据 库 。 其 功能 、 界 面 全 部 使 用 模板 化 设计 ， 
可 用 于 构建 各 种 网 络 站 点 。XOOPS 的 发 布 采用 GPL 协议 ， 在 遵循 GPL 相关 条 款 的 前 提 下 ， 可 
免费 使 用 和 修改 ， 可 自由 再 发 布 。 支 持 二 十 种 以 上 的 语言 版 本 ， 包 括 英文 、 简 体 中 文 、 繁 体 中 
文 ， 编 码 可 自由 选择 ， 可 采用 GB 2312. BIG 5 或 UTF-8。 


安装 前 配置 XOOPS 软 件 


参考 LAMP 建 站 基本 需求 安装 好 LAMP 环 境 ， 然 后 将 XOOPS 软 件 上 传 到 LAMP 服 务 器 ， 利 
用 WinSCP 工 具 将 XOOPS 软 件 内 的 htdocs 目 录 上 传 到 Apache 网 页 目录 (/var/www/html)， 并 将 
文件 夹 重 命名 为 【xoops】， 如 下 图 所 示 。 


CentOS 6.x 系统 管理 实战 宝典 


SHO) FUN THO) AFO SEC) BAO FEA RHH 

ejus BFP SA L-VEoom Era 
palet3z16823910| « | 

EX xxr Aue: 


| 
ret — 2012/9/9 2:16:21 ox 
ret — DUNS 2:14:25 rw 


M 


0B of 231 Bin Od 7 08d 08iCof1 
oP REESE ngu s EH -Ir pih 37 RaR X rM cre qut ono 
B sa Q om | 


检查 Apache 编 码 是 否 为 UTF-8， 如 果 不 是 UTF-8 编 码 ， 则 修改 成 UTF-8， 其 实 不 一 定 要 选 
择 UTF-8， 也 可 以 选择 BIG5， 不 过 XOOPS 很 重视 编码 ， 所 以 安装 XOOPS 软 件 时 选择 一 种 编码 
后 ， 就 要 配置 该 编码 ， 以 免 出 现 问 题 。 

创建 一 个 名 称 为 【xoops】 的 数据 库 供 XOOPS 系 统 使 用 ， 若 不 知 如 何 创建 数据 库 ， 可 以 参 
考 LAMP 建 站 基本 需求 安装 软件 ， 来 创建 XOOPS 所 需要 的 数据 库 。 


安装 XOOPS 软 件 
在 浏览 器 中 输入 【http://IP 地 址 /xoops】 开始 安装 XOOPS 软 件 ， 在 开始 就 必须 选择 编码 ， 
前 面 将 Apache 编 码 配置 成 UTF-8, 所 以 选择 【schinese_utf8】( 简 体 中 文 UTF-8 版 ， 按 【下 一 步 】 
A xeors =a [4] 


INSTALLATION: 


出 现 XOOPS 安 装 向 导 欢 迎 界面 ， 显 示 系 统 需求 及 需 修 改 目 录 的 权限 ， 需 要 把 xoops_data 
和 xoops_lib 目 录 转 移 到 网 站 根 目录 以 外 的 目录 ， 此 步骤 要 在 XOOPS 安 装 完成 后 再 进行 配置 。 
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agan 欢迎 使 用 XOOPS 安装 向 导 ， 请 按 提 示 进 行 
REE 安装 。 
saer 

nassser 

nem 

arne 

tonma 

meor 

anma 

acer 

ELES] 

gura 

E 


e MySQL ER ERSIKBAUE 


系统 环境 在 前 面 已 经 配置 ,所 以 只 要 修改 目录 权限 即 可 。 将 下 面 所 列 出 的 目录 或 文件 权限 
都 设 为 777， 在 XOOPS 安 装 完成 后 ， 再 将 mainfile .php 权限 修改 回 444。 


uploads/ 

uploads/avatars/ 
uploads/images/ 

uploads/ranks/ 
uploads/smilies/ 

mainfile.php 
include/license.php 

xoops data/data/secure.php 
Xoops data/caches 

Xoops data/ caches/xoops cache 
Xoops data/caches/smarty cache 
Xoops data/caches/smarty compile 
xoops data/configs 


先 将 目录 切换 到 XOOPS 软 件 目 录 ， 再 将 上 面 的 目录 或 文件 权限 配置 为 777。 


[root@localhost /]# cd /var/www/html/xoops // 进 入 xoops 主 程序 目录 

[rootGlocalhost xoops]# chmod 777 uploads uploads/avatars/ uploads/images/ uploads/ranks/ 
uploads/smilies/ mainfile.php include/license.php xoops data/data/secure.php 
Xoops data/caches xoops data/caches/xoops cache xoops data/caches/smarty cache 
Xoops data/caches/smarty compile xoops data/configs // 配 置 所 有 目录 及 权限 


完成 所 有 配置 后 ，XOOPS 安 装 向 导 会 自动 检查 基本 需求 是 否 符合 。 


基本 需求 
apache2handier 
ESRERN ‘Apache/2.2.15 (CentOS) 
PHP 版 本 x533 
MySQL 扩展 v 5.161 
Session 扩展 VER 
PCRE 扩展 YR 
file uploads ON 
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扩展 程序 需要 某 些 功能 的 支持 所 以 尽量 使 所 有 程序 都 启用 ,避免 无 法 使 用 , 确认 完成 后 
按 【 下 一 步 】。 


推荐 启用 的 扩展 程序 


REP EERTSSAWPSACNEXBRHB. BZ—tngssuty RHA 
《例如 多 字 节 语言 或 RSS 支 持 等 )。 因 此 ， 推 荐 安装 和 启用 这 些 扩展 程序 。 


字符 集 编码 扩展 ~~ MBString 
字符 集 转换 扩展 v Iconv 
XML parsing 扩展 v XML 

zib FES FE Y Zib 


图 形 函数 扩展 GD bundled (2.0.34 compatible) 
图 多 元 数据 (exif) 扩展 v Exif 


在 【路 径 设置 】 选 项 中 需要 配置 物理 路 径 及 虚拟 路 径 ， 物 理 路 径 为 LAMP 服 务 器 上 的 
XOOPS 软 件 目录 路 径 ， 虚 拟 路 径 则 是 对 外 的 URL， 这 是 XOOPS 安 装 向 导 自动 默认 的 配置 ， 除 
非 有 错误 ， 否 则 尽量 不 要 修改 配置 ， 以 免 无 法 安装 XOOPS， 按 【下 一 步 】 

路 径 设 置 


XOOPS 物理 路径 
XOOPS 物理 路 径 : 
[Namwwhmhxops ”| Yxcops233 检 列 正 确 
XOOPS 数据 文件 
[arwwwhtmlxoops/xoops_data RENE 
XOOPS ARAE 
[Avarwwwihtml/xoops/xoops lib RENEW 


XOOPS 虚拟 路 径 
XOOPS 虚拟 路 径 (URL): 
hitp./7192:168.233. 10/xoops 


下 面 进行 数据 库 连接 配置 ， 因 为 使 用 的 是 MySQL 数 据 库 ， 所 以 数据 库 类 型 选择 【mysql】， 
数据 库 主 机 名 配置 为 localhost 或 本 机 下 地 址 ， 如 果 数据 库 主 机 是 其 他 服务 器 的 数据 库 ， 则 输入 
数据 库 服务 器 的 耳 地 址 ， 数 据 库 账 号 和 密码 则 输入 创建 XOOPS 数 据 库 的 账号 和 密码 ， 例 如 创 
建 数据 库 的 账号 是 root， 则 输入 root 的 账号 和 密码 ， 配 置 完成 后 ， 按 【下 一 步 】 

数据 库 连 接 配 置 


数据 库 服务 器 连接 配置 
HEBES 
dusexWan: 
| C REN 
| 数据 库 用 户 帐号 : 


fea 


SEER PER: 


Busen DO 


在 【数据 库 配置 】 界 面 中 ， 还 要 配置 XOOPS 数 据 库 名 称 ， 如 数据 库 名 称 为 xoops， 其 他 配 
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置 不 变 ， 配 置 完成 后 ， 按 【下 一 步 】. 


将 所 有 配置 写 入 mainfile.php 及 secure php 文 件 中 ， 写 入 前 最 好 先 确 认 ， 确 认 无 误 后 ， 按 【下 
一 步 】 进 行 配置 。 


保存 设置 到 MAINILE.PHP 中 
| tik reU RTM mantle phph. Sa F¥—a WaT 
XOOPS_ROOT_PATH => Mu 
XUOPS. VAR. PATH => /var /www, 


XDOPS PATH => DEAN tmljxoops /roops_Ib 
ES URL => http://192.168.233. 10/«o0ps. 
=> mrsdl 


DB. CHAR: ut 
XDOPS DB CULLATIUN => urf&. general ci 
XDOPS DB PREHX => x3b4 
XDOPS authorized => 1 


写 入 mainfile.php 及 secure php 后 ，XOOPS 安 装 向 导 接 下 来 就 创建 数据 表 ， 创 建 数据 表 成 功 
后 , 按 【 下 一 步 】。 


dues oigo secret yaen. 
Bugs 


然后 创建 XOOPS 管 理 者 账号 数据 ， 输 入 网 站 管理 员 账 号 、 邮 件 账 号 及 密码 ， 输 入 密码 时 
会 识别 安全 级 别 ， 主 要 是 为 安全 性 考虑 ， 目 前 很 多 系统 都 有 密码 复杂 度 设计 ， 如 果 自 己 无 法 想 
出 较 复 杂 的 密码 ， 也 可 以 使 用 系统 帮 你 生成 密码 ， 配 置 输入 完成 后 ， 按 【下 一 步 】。 
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请 输入 初始 设置 

一 管理 员 账号 设置 

网 站 管理 员 帐 号 : 

[jeny _ 

网 站 管理 员 邮 件 : 

| enyaenya en ELETE 
网 站 管理 员 密码 : 

E ENERE 
确认 管理 员 密码 

E 2) LM 

ESF [FSF 


关于 密码 复杂 度 可 以 参考 如 下 内 容 。 
a 密码 长 度 至 少 为 6 个 字符 。 
A 至 少 包 含 下 列 4 种 字符 类 型 中 的 3 种 : 小 写 英文 字母 (a ~ z) 大 写 英文 字母 (A ~ ZN 
数字 (0 ~ 9)、 特 殊 字符 (如!、$、#、% 等 )。 
* 不 能 包含 用 户 账号 的 某 一 部 分 字符 (超过 2 个 字符 )。 
站 点 设置 分 为 几 部 分 ， 即 基本 参数 设置 、Meta 及 页 脚 、 会 员 管 理 设置 ， 基 本 参数 设置 主 
要 是 设置 网 站 名 称 及 网 站 口号 ，XOOPS 安 装 向 导 会 自动 使 用 默认 值 ， 可 以 依 需 求 修改 。 


站 点 设置 


> 基本 参数 设置 
网 站 名 称 
[XOOPS Site 
网 站 口号 
[Just Use at 


依 需 求 配置 Meta 关 键 字 、 描 述 、 作 者 、 版 权 数据 。 


Meta RTW 

Meta 关键 字 

[aaps，web applications, web 2.0, sns, news, 
technology, headlines, linux, software, download, 
downloads, free, community, forum, bulletin board, bbs, 


php, survey, polls, kernel, comment, comments, portal, 
odp, open source, opensource, FreeSoftware, gnu, gpl, 


Meta $Ë 


[XOOPS is a dynamic Object Oriented based open source 
portal script written in PHP 


META 作 者 
XOOPS 
Meta 版 权 


Copyright € 2001-2012 


会 员 管理 设置 用 于 配置 是 否 允 许 新 会 员 注册 ， 默 认为 否 ， 这 里 配置 为 【是 】 此 配置 也 可 
管理 
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一 会 员 管 理 设置 
多 许 新 会 员 注 册 
On ca 


选择 网 站 默认 风格 ， 此 版 本 默认 有 三 种 风格 可 供 选 择 ， 选 择 完毕 后 ， 按 【下 一 步 】。 
选择 网 站 默认 风格 


P SUA PUR (theme) 


模块 安装 ， 此 版 本 默认 提供 了 三 种 可 以 安装 的 模块 ， 即 站 内 短信 、 用 户 管理 、protector( 防 


模块 )， 将 所 有 配置 选 为 【是 】 进 行 安 装 ， 也 可 以 在 安装 完 后 ， 根 据 需 求 安装 其 他 模块 ， 增 
加 Xoops 功 能 性 ， 按 【下 一 步 】。 


模块 安装 


Li 1.00 
[Egi CECE 
.52 (profile) caca 


和 各 攻击 , 比 c Cum 
| 如 Dos, SQUE A, 究 里 污水 等 


XOOPS 模 块 安装 完成 后 ， 按 【下 一 步 】。 


模块 安装 


昼 下 模块 已 经 去 装 成 力 
At BS UTE 


AMM MAMI — eec eee eee ü 


S 
作者 : Jan Pedersen; Taiwen Jiang 
ganaran ARD 


He rm perito htm [NNNM 29) 


UIS 
4846 pn_lookup html TEMSE: a1) 
B46 pm_iaokup html igi 

#216 pc viewpmsg html 已 径流 加 到 数据 本 0D; 32) 


至 此 XOOPS 软 件 安装 完成 ， 接 下 来 进入 刚 创建 的 网 站 ! 在 进入 XOOPS 网 站 前 ， 基 于 安全 


357 


CentOS 6.x 系统 管理 实战 宝典 


考虑 ， 将 一 开始 安装 的 mainfile php 权 限 配 置 为 写 入 ， 不 过 先 不 要 修改 mainfile php 权 限 ， 也 不 
要 将 install 目 录 改 名 或 删除 ， 进 入 XOOPS 再 一 并 配置 ， 按 【现在 就 可 以 浏览 网 站 首页 】 


欢迎 进入 XOOPS 网 站 


SS, MARR! 

现在 就 可 以 浏览 网 站 首页 

技术 支持 

XOOPS BER | XOOPS dh irs 

实 全 设置 

为 了 安全 考虑 .安装 向 导 对 你 的 网 站 计 行 醒 轩 ,请 汉 击 确认 : 


XOOPS 网 站 路 径 为 【http:/ 耳 地址 /xoops】，XOOPS 安 装 完 后 ， 按 【现在 就 可 以 浏览 网 站 
首页 】 直 接 进入 网 站 ， 所 以 管理 者 账号 即 为 已 登录 状态 ， 不 过 下 次 登录 时 就 必须 输入 管理 员 账 
号 和 密码 ， 先 单 击 选择 【管理 区 】。 


Powered by KOOPS © 2001-2012 The XOOPS Project 


管理 区 内 会 出 现 4 个 警告 ， 不 修改 也 可 以 使 用 ， 但 是 为 了 安全 性 考虑 还 是 做 一 下 修改 。 

第 一 个 警告 提示 需 将 XOOPS 主 程序 的 install 安 装 目录 删除 或 重 命名 。 

第 二 个 警告 提示 要 将 mainfile. php 权限 属性 配置 为 444。 

第 三 个 和 第 四 个 警告 则 提示 需 将 xoops_lib (公共 类 库 ) 及 xoops_data (XOOPS 数 据 ) 目录 
转移 到 网 站 根 目 录 以 外 的 路 径 ，Apache 网 页 默认 目录 为 /var/www/html， 网 站 目录 以 外 的 路 径 
就 是 指 非 该 路 径 即 可 。 


注意 ; 目录 /var/www/html/«oops/install/ 存在 于 服务 器 中 
为 了 安全 考虑 请 三 除 此 目录 


EB: 文件 /Yar/www/html/xoops/mainfile.php 属性 为 可 与 
THEA SPH BL 
在 Unix 中 属性 代码 为 《444)， 在 Windows 中 属性 为 《只 该 ) 


注意 : 目录 /var/www/ntml/xoops/xoops lib 存在 与 网 站 根 目录 中 
为 了 去 全 考虑 . 强 到 推荐 档 此 目录 转移 到 网 站 根 目录 以 外 ， 


2S: BR verge imisacgs vaops. date Set SANE, 
ATHSLAS IBTUETEIS ILE TREE SIPDAIR EUR LA. 
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mm 


先 将 install 安 装 目录 改名 为 install old， 再 将 xoops lib (公共 类 库 ) 及 xoops_data (XOOPS 
数据 ) 目录 转移 至 /war/www 目 录 下 ， 然 后 修改 mainfile php 文 件 ， 将 这 两 个 目录 路 径 修改 ， 修 
改 完毕 后 ， 再 将 mainfile .php 权限 配置 为 444。 


[root@localhost ~]# cd /var/www/html/xoops // 进 入 xoops 目录 
[root@localhost xoops]# mv install install old // 重 命名 XoOPS 安装 目录 
[root@localhost xoops]# mv xoops data xoops lib /var/www 
//%§ xoops data il xoops_lib 目录 转移 到 /var/www 
[root@localhost xoops]# vi mainfile.php 
// 修 改 xoops data fllxoops lib 目录 路 径 
// For forward compatibility 
// Physical path to the XOOPS library directory WITHOUT trailing slash 
define ('XOOPS PATH', '/var/www/xoops lib') ; //xoops lib 转移 后 路 径 
// Physical path to the XOOPS datafiles (writable) directory WITHOUT 
trailing slash 
define ('XOOPS VAR PATH', '/var/www/xoops data') ; 
//xoops data 转移 后 路 径 
// Alias of XOOPS PATH, for compatibility, temporary solution 
define ("XOOPS TRUST PATH", XOOPS PATH) ; 
[root@localhost xoops]# chmod 444 mainfile.php //éP{mainfile.php 权限 属性 


tinh 


E 新 单 击 管理 后 台 页 面 ， 所 有 警告 消息 都 消失 ， 这 时 就 可 以 开始 使 用 XOOPS 系 统 了 。 


^ 8 


LI 


aoe 


Sare antan PES boheme 


29.2 Drupal (水 滴 ) 内 容 管理 系统 


Drupal 英 文官 方 网 站 : http://drupal.org/。 

Drupal 简体 中 文 网 站 : http://drupalchina.cn/. 

Drupal 官方 模块 下 载 地 址 : http://drupal.org/project/Modules o 

Drupal 简体 中 文 网 站 模块 下载 地 址 : http://drupalchina.cn/download。 

Drupal 模 板 下载 地 址 : http://drupal.org/project/themes。 

Drupal 致 力 于 通过 为 其 用 户 提供 所 需 的 工具 来 建立 其 自己 的 内 容 管 理解 决 方案 的 方式 来 
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实现 各 项 管理 功能 ， 同 时 还 提供 一 些 预 建 的 组 件 来 帮助 用 户 入 门 。 已 经 有 许多 个 人 和 组 织 采用 


Drupal 来 创建 各 种 不 同 的 网 站 ， 包 括 : 
d 社区 论坛 和 讨论 区 

企业 网 站 /企业 内 部 入 口 网 站 

个 人 网 站 或 blog 

专题 网 站 

电子 商务 应 用 

资源 分 类 目录 

社交 网 站 

Drupal 包 括 以 下 功能 : 


内 容 管理 系统 
blog 

讨论 区 

HE HA 
电子 报 

相册 
文件 上 传 与 下 载 


[4 


€ € «€ € € eee 


Drupal 是 一 套 采用 GPL 授权 的 开放 源码 软件 是 由 数 以 千 计 的 使 用 者 和 开发 人 员 所 共同 维护 
和 开发 的 。 如 果 你 喜欢 Drupal， 请 与 我 们 一 起 努力 ， 扩 充 并 改善 Drupal， 使 它 更 符合 你 的 需求 。 


安装 Drupal 软 件 前 的 配置 


参考 LAMP 建 站 软件 的 基本 需求 将 环境 安装 好 ， 然 后 将 Drupal 安 装 主 程序 上 传 到 LAMP 服 务 器 
上 , 利用 WinSCP 工 具 将 Drupal 压 缩 文件 和 简体 中 文 语言 文件 上 传 到 /var/www/html 下， 如 下 图 所 示 。 


htel - restel9 WinSCP 
SHO) tiem VO) SSC) SAG) WHO) WER) 帮助 00 


lojas- ms ejm PSA iz | E oo mu Ug. 
root@is2 16625310] + | 
ot aits- 18m yan -aTi s- gad alt 


sss dup ro | _[drwpal-T e chan] 
2,690 KiB WinRAR | SB arapal T-T. ta er 


558 KiB root 
2,690 KiB root 


2012/9/9 9 59:38 — rwr. 
2011/7/28 9:44:38. rwr- 
2012/9/3 9:59:03, 
2012/9/9 2:31:12 
2012/9/8 2:12:48 


| 


E 
OB of 3247KBinO of 4 


DB of 13,201 KiBinO of 5 
| E 重 命名 Ind ir Sel Srs 移动 于 FT ORR X re WHR rre 属性 TL vio 退出 
B sm 3 
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一 


进入 Apache 默 认 网 页 目录 ， 将 Drupal 压 缩 文件 解压 缩 ， 并 将 简体 中 文 语言 文件 移动 至 
Drupal 的 translations 目 录 下 。 


[root@localhost ~]# cd /var/www/html // 进 入 Apache 默认 网 页 目录 
[root@localhost html]& 11 // 列 出 上 传 到 网 页 目录 的 文件 
total 3160 


-rw-r--r--. 1 root root 2754113 Aug 15 02:26 drupal-7.7.tar.gz 
-rw-r--r--. 1 root root 475765 Aug 15 23:08 drupal-7.15.zh-hans.po 
[root@localhost html]# tar -zxvf drupal-7.7.tar.gz // 解 压缩 Drupal 压缩 文件 


[root@localhost html]# 11 // 列 出 解压 缩 后 的 Drupal-7.7 
total 3164 


drwxr-xr-x. 9 6226 6226 4096 Jul 28 08:44 drupal-7.7 

-rw-r--r--. 1 root root 2754113 Aug 15 02:26 drupal-7.7.tar.gz 
-rw-r--r--. 1 root root 475765 Aug 15 23:08 drupal-7.15.zh-hans.po 
[root@localhost html]# mv drupal-7.7 drupal // 将 目录 名 称 改 为 aupal 


[root@localhost html]# mv drupal-7.15.zh-hans.po drupal/profiles/standard/translations 
// 移 动 至 语言 文件 目录 


创建 一 个 数据 库 让 Drupal 系 统 使 用 ， 例 如 数据 库 名 称 为 【drupal】〗， 若 不 知道 如 何 创建 数据 
库 ， 可 以 参考 LAMP 软 件 安装 需求 ， 创 建 Drupal 软 件 所 需要 的 数据 库 。 


安装 Drupal 软 件 


开始 安装 Drupal 7 软件 时 会 询问 安装 模式 ， 选 择 【Standard]】， 按 【Save and continue]. 


Select an installation profile 


ia @ standard 
install with commonly used features pre-corfigared. 
Minimal 


Start with only a few modules enabled 
> Choose profile 
Save and continue 


选择 Drupal 系 统 语 言 。 软 件 默 认 只 有 English， 因 为 事先 将 简体 中 文 语言 文件 放置 于 
/profiles/standard/translations/ 目 录 ， 所 以 会 多 出 简体 中 文选 项 ， 单 击 选择 【Chinese，Simplified 
(fal 484430), f [Save and continue]. 
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Choose language 


© English (tuii) 


© Chinese, Simplified GEHIO 


Save and continue. 


Y Choose profils 


> Choose language 


检测 系统 需求 时 出 现下 列 错误 ， 如 果 按 照 LAMP 建 站 软件 需求 将 环境 安装 好 ， 则 只 会 出 现 
三 个 错误 ， 分 别 是 PHP extensions 已 禁用 、sites/default/files 目 录 不 存在 、 配 置 文件 settings.php 
不 存在 。 
Web 服 务 器 Apache/2 2.15 CentOS) 
— - 
O "E sn 
Drops ERATE CRSERE MTB © 
funes En 
(ehm vie 
o RAR 


sites/defeuk/fles EVRCT- Et. 自动 创建 此 目录 失败 ， 可 能 是 因为 权限 原因 。 Bit 
续 进 行 安装 ， 要 么 手动 创建 此 目录 并 修改 其 权限 村 么 确证 灾 装 程序 有 足够 机 限 可 以 
目 动 进行 剖 建 。 更 杀 信 息 请 查看 INSTALL ex 或 TSH. 


Unicode 库 PHP Mestring 扩展 


O REX 设置 文件 不 存在 


Drupal 实 装 器 需要 你 创建 一 个 设置 文件 作为 安 美 过 程 的 一 部 分 , 复 
制 /sites/deaut/ defaut sertings php 文件 到 ./stes/aefaul/semings. php 。 关 于 安装 
Drupa 的 更 多 细节 可 以 参考 NETALL teto 


mü&aeisnes. 


需要 修改 上 面 因 配置 出 现 的 错误 信息 ， 因 为 下 面 的 任何 配置 都 会 在 /var/www/htmldrupal 
目录 下 执行 ， 所 以 输入 【cd /var/www/html/drupal】])， 进 入 该 目录 。 使 用 在 线 更 新 的 方法 安装 
php-xml 软 件 ， 就 可 以 开启 php 扩 展 模块 了 。 


© "rm 禁用 
Drupa 朗 装 需要 启用 六 下 的 PHP 扩 展 〈 更 多 信息 参见 系统 需求 页 面 》: 
* dom 
[root@localhost drupal]# yum install -y php-xml / [38 php-xml 软件 


Dependencies Resolved 


Installing: 


php-xml x86 64 5.3.2-6.616 0.1 updates 100 k 
Installing for dependencies: 
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libxslt x86 64 1.1.26-2.e16 base 450 k 
Transaction Summary 


Install 2 Package (s) 

Upgrade 0 Package (s) 

Total download size: 550 k 

[root@localhost drupal]# service httpd restart  // 重 新 启动 Apache 
Stopping httpd: LOE 

Starting httpd: [ok J 


要 修改 sites/defaultfiles 目 录 默 认 不 存在 的 错误 信息 ， 必 须要 创建 并 配置 权限 为 777。 


O 文件 系统 
sites/defaul/files 目录 不 存在 。 自动 创建 此 目录 失败 ， 可 能 是 因为 权限 原因 。 要 继 


续 进行 安装 ， 要 么 手动 创建 此 目录 并 修改 其 权限 要 么 确定 安装 程序 有 足够 权限 可 以 
自动 进行 创建 。 更 多 信息 请 查看 INSTALL ee 或 在 线 手册 。 


[root@localhost drupal]# mkdir sites/default/files // 创 建 files 目录 
[root@localhost drupal]# chmod 777 sites/default/files 


//& files 目录 权限 为 777 


El X Drupal 的 配置 文件 settingsphp 默 认 不 存在 ， 必 须要 把 sites/default 目录 下 的 
default.settings.php 文 件 复制 一 份 并 重 命 名 为 settings.php， 再 将 权限 修改 为 777 即 可 。 


o 。 配置 文件 设置 文件 不 存在 
Drupal 安装 器 需要 你 创建 一 个 设置 文件 作为 安装 过 程 的 一 部 分 。 复 


制 ./sites/default/defaute settings pho 文件 到 ./sites/defautt/settings php。 关 于 安装 
Drupal 的 更 多 细节 可 以 参考 INSTALL txt。 


[root@localhost drupal]# cp sites/default/default.settings.php 


sites/default/settings.php // 复 制 配置 文件 
[root@localhost drupal]# chmod 777 sites/default/settings.php 


// 配 置 可 以 写 入 权限 


排除 上 述 三 个 错误 后 ， 重 新 整理 Drupal 安 装 页 面 ， 则 会 自动 进入 下 一 个 页 面 。 
配置 Dmpal 所 要 使 用 的 数据 库 ， 数 据 库 类 型 选择 【MySQL，ariaDB， 或 者 类 似 的 ]， 输 入 
数据 库 名 称 、 用 户 名 、 密 码 ， 按 【保存 并 继续 】。 


SERRE 


arta 
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Drupal 安 装 向 导 会 将 相关 数据 写 入 settings.php 配 置 文件 中 。 


** Drupal 


» X 10 1 29* 3x 
EORR Comment Wk- 


相关 数据 写 入 settings.php 配 置 文件 后 ， 安 装 向 导 会 出 现 settings.php 配 置 文件 要 求 改 成 只 读 
的 提示 ， 不 过 此 操作 可 以 在 完成 后 再 进行 配置 。 


A 所 有 对 于 sites/default 和 sites/default/settings.php 的 必要 更 改 已 经 完成 ， 现 


在 应 当 移 除 其 可 写 权限 以 避免 安全 隐患 。 若 不 确定 该 如 何 操作 ， 可 以 参阅 在 线 手 册 。 


【站 点 信息 】 选 项 中 需要 配置 站 点 名 称 及 网 站 电子 邮箱 。 
站 点 信息 


站 点 名 称 * 
192.168.233.10 


网 站 电子 邮箱 * 
jerry@jerryit.idv.cn| 


自动 生成 的 电子 邮件 《如 注册 信息 ) 将 从 此 地 址 发 送 。 使 用 您 的 站 点 域名 作为 邮件 服 
务 器 有 助 于 避免 这 些 邮 件 被 视 作 二 专 邮 件 


【站 点 维护 账号 】 选 项 中 需要 配置 用 户 名 、 密 码 ， 电 子 邮 件 地 址 会 自动 使 用 网 站 电子 邮件 
地 址 ， 可 以 自行 修改 其 他 电子 邮件 地 址 ， 系 统 会 判断 密码 强度 ， 并 建议 合适 的 密码 复杂 度 。 
站 点 维护 帐号 


用 户 名 * 
jerry 
RETR BREWS "V 以 外 的 其 他 符号 。 


电子 邮件 地 址 * 


jerryGjerrrt.idv.cn. 


SRST: 
。 添加 大 写字 母 


【服务 器 设置 】 选 项 基本 上 不 做 任何 修改 ， 默 认 国家 为 空白 ， 可 以 自行 配置 为 中 国 ， 默 认 
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时 区 会 依 地 区 而 变动 。 


为 站 点 选择 它 的 国家 。 


RUNE 
|Asia/Chongging: 星期 日 , 九 月 9, 2012 - 10:50 +0800 了 | 
网 站 日 期 会 以 默认 所 选择 的 时 区 来 呈现 。 


【更 新 通知 】 选项 默认 会 选择 自动 检查 更 新 和 接收 电子 邮件 通知 ， 可 依 个 人 配置 。 配 置 完 
成 后 ， 按 【保存 并 继续 】。 


Ww 自动 检查 更 新 
Ww 接收 电子 邮件 通知 
当 更 新 与 重要 的 安全 发 布 可 用 时 ， 系 统 将 通知 您 。 您 站 点 的 匿名 信息 将 发 送 到 


Drupal.org, 


Drupal 选 项 安装 完成 ， 单 击 【 访 问 新 网 站 】， 可 以 立即 浏览 个 人 Drupal 网 站 。 
Drupal 安装 完成 


E. 你 安装 了 Drupal! 


访问 新 网 站 


或 者 输入 【http://IP 地 址 /drupay]】， 可 以 马上 看 到 Drupal 首 页 。 


y Bt 


AMAF BRAE m] 


a 欢迎 光临 192.168.233.10 


Boxxet 


* AWANE 


登录 管理 员 账号 后 ， 选 择 【 配 置 】?>【 状 态 报告 】 可 以 查看 目前 配置 状态 ， 此 处 会 显示 
上 传 进度 和 配置 文件 的 需求 配置 。 
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Ya. SAAR. AMMAN 
Oron 77 
Cron WIPES 上 一 次 执行 是 在 24 He 15 秒 O 
ERLEMANN er 
= 
o 可 用 
Cort M bundled Do 34 compatible) 
COMPRESS APRA bundled @ 0 34 companibte) 
e sss æsam 
PHP reanter globes LI 
nem 限制 120m 
verm am 


若 要 启用 上 传 进 度 ， 必 须要 安装 PECL 上 传 进度 库 或 APC， 官 方 建议 安装 PECL， 所 以 选择 
安装 PECL 软 件 ， 安 装 PECL 软 件 前 除了 需 安装 php-devel、php-pecl、php-pear 软 件 外 ， 还 要 安装 
Development Tools， 再 安装 PECL uploadprogress， 最 后 配置 php.ini， 所 有 配置 完成 后 ， 重 新 启 
动 Apache 服 务 。 


上 传 进度 未 启用 


你 的 服务 器 尚 需 必要 的 库 以 显示 文件 上 传 进度 。 推 荐 安装 PECL 上 传 进 度 库 ( 首 选 ) 或 安装 APC。 


[root@localhost drupal]# yum -y install php-devel php-pecl php-pear 
// 安 装 相关 PHP 软件 


Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 

php-devel x86 64 5.3.2-6.e16 0.1 updates 502 k 
php-pear noarch 1:1.9.0-2.e16 base 391 k 
Installing for dependencies: 

autoconf noarch 2.63-5.1.e16 base 781 k 
automake noarch nahen v base 550 k 


Transaction Summary 


Install 4 Package (s) 
Upgrade 0 Package (s) 
Total download size: 2.2 M 


[root@localhost drupal] # yum -y groupinstall "Development Tools" //#%# Development Tools 
Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 

Bison x86 64 2.4.1-5.e16 base 637 k 
Byacc x86 64 1.9.20070509-6.1.e16 base 48 k 
Cscope x86 64 15.6-6.e16 base 136 k 
Ctags x86 64 5.8-2.e16 base 147 k 
Diffstat x86 64 1251-2.el6 base 29 k 
Doxygen x86 64 1:1.6.1-4.e16 base 2.4M 
Flex x86 64 2.5.35-8.e16 base 286 k 
Gcc x86 64 4.4.4-13.e16 base 10M 
gec-c++ x86 64 4.4.4-13.e16 base 4.7 M 
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gcc-gfortran x86 64 


git x86 64 
indent x86 64 
intltool noarch 
libtool x86 64 
patchutils x86 64 
rcs x86 64 


4.4.4-13.e16 
1.7.1-2.e16 0.1 
2.2.10-5.1.e16 
0.41.0-1.1.e16 
2.2.6-15.5.e16 
0.3.1-3.1.e16 
5.7-37.e16 


redhat-rpm-config noarch9.0.3-25.e16 


rpm-build x86 64 
subversion x86 64 


swig x86 64 

systemtap x86 64 
Updating: 

cvs x86 64 


4.8.0-12.e16 
1.6.11-2.e16 0.3 
1.3.40-5.e16 
ones 


1.11.23-11.e16 0.1 


Installing for dependencies: 


cloog-ppl x86_64 
cpp x86_64 
gettext-devel x86 64 
gettext-libs x86 64 
glibc-devel x86 64 
glibc-headers x86 64 
kernel-devel x86 64 
kernel-headers x86 64 
libart lgpl x86 64 
libgcj x86 64 
libproxy x86 64 
libproxy-bin x86 64 


libproxy-python x86 64 
libstdc++-devel x86 64 


mpfr x86 64 
neon x86 64 
pakchois x86 64 
perl-Error  noarch 
perl-Git noarch 
ppl x86 64 


0.15.7-1.2.e16 
4.4.4-13.e16 
0.17-16.e16 
0.17-16.e16 
.12-1.7.e16 0.5 
.12-1.7.e16 0.5 
.32-71.29.1.e16 
.32-71.29.1.e16 
.20-5.1.e16 
.4-13.e16 
.0-2.e16 
.0-2.e16 
.0-2.e16 
.4-13.e16 
.1-6.e16 
9.3-1.2.e16 
-3.2.e16 
.17015-4.e16 
.1-2.e16 0.1 
0.2-11.e16 


SCRPRRSOONRODORNNNNDN 


B -0 O Mo d» U U Q 4 U OO 


Updating for dependencies: 


Glibc x86 64 

glibc-common x86 64 
Transaction Summary 
Install 
Upgrade 


41 Package (s) 
3 Package (s) 
Total download size: 88 M 


[rootelocalhost drupal]# pecl install uploadprogress 


A 


[root@localhost drupal]# vi /etc/php.ini 


-中 间 省 略 … 


extension-uploadprogress.so 
[rootelocalhost drupal]# service httpd restart 


Stopping httpd: 
Starting httpd: 


[ OK ] 
[ OK ] 
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// 安 装 PECL uploadprogress 


// 编 辑 php.ini 


// 重 新 启动 Apache 


// 在 最 后 一 行 添加 的 信息 


Drupal 配 置 文件 配置 完成 后 ， 必 须 将 settings.php 设 为 只 读 (不 可 以 写 入 )， 除 配置 文件 外 ， 
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sites/default 目 录 也 必须 取消 写 入 权限 。 


© 配置 文件 未 保护 
文件 sites/defaul/settings pho 未 设置 修改 保护 而 造成 安全 隐患 。 您 必须 改变 文件 为 只 读 。 


[root@localhost drupal]# chmod 444 sites/default/settings.php// 配 置 文件 只 读 
[root@localhost drupal]# chmod 555 sites/default // 设 为 不 可 写 入 


再 次 重新 整理 页 面 后 ， 所 有 的 错误 或 警告 都 会 消失 ， 这 样 就 可 以 开始 使 用 Drupal 了 。 


Web 服 务 器 Apache/2.2.15 ICenrOS) 

上 传 进度 启用 (PECL 上 传 进 度 ) 
FPR update. php 被 保护 

数据 库 更 新 最 新 的 

数据 库 系 统 MYSQL, MariaDB, or equivalent 
数据 库 系统 版 本 5.1.61 


文件 系统 AR ar Tees 
更 新 通知 启用 


节点 访问 权限 2m 


DRASENRLET AG, TREAT. SRS ARASH S 
FABRA RA SHR. TURPIS XSRRUE BER RO, MRO SL eT 
间 。 在 重建 盘存 充 成 后 ， 内 容 会 白 动 使 用 新 的 权限 。 重 是 权限 


配置 文件 被 保护 
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Blog (博客 ) ——WordPress 


WordPress 简 体 中 文 网 站 : http://cn.wordpress.org/. 

WordPress 是 一 个 开放 源 代 码 的 博客 平台 ， 全 世界 有 数 以 百 计 的 人 正在 为 它 付出 努力 。 
WordPress 简 体 中 文 网 站 主要 专注 于 WordPress 的 推广 与 相关 信息 的 建立 ， 主 要 提供 可 靠 的 官 
方 WordPress 中 文 版 本 、 简 体 中 文 手册 与 相关 支持 ， 也 服务 于 多 数 的 商业 平台 。 这 意味 着 你 可 
以 完全 免费 地 使 用 它 ， 不 需要 支付 一 毛 钱 。WordPress 成 为 个 人 创建 博客 的 首选 。 


30.1 WordPress 软 件 安装 前 的 配置 


参考 LAMP 建 站 软件 需求 将 LAMP 环 境 安装 好 ， 然 后 将 WordPress 软 件 上 传 到 LAMP 服 务 
器 ， 可 以 利用 WinSCP 工 具 将 WordPress 软 件 目录 复制 到 Apache 网 页 目录 Cvar/www/htmD F, 
并 将 文件 夹 重 命名 为 【wordpress】。 


wordpress-3. 4.2-zh_CH — root@192.168.233.10 一 TinSCF 
本 地 0L) Ham 文件 下) SFO) SEO WHO) 远程 于) 帮助 00 
e|Ui-:mGm om |S PIF | o © IBA - IG 
100t@192.168.233.10 | + 

oa GM ie -*i* be - anie- o- aa Aale 


二 扩展 
wordpress 
4 E +) 
08 of OB inDoft 08 of OBinOot1 
igre 重 命名 [fce ee ics 复制 5 re 移动 Grr? BBREUR OX Fs mi? x 


a sriP3 d onan g 


首先 检查 Apache 配 置 文件 是 否 支持 UTF-8 编 码 ， 如 果 不 支持 ， 则 修改 成 支持 UTF-8， 以 免 
浏览 网 页 时 出 现 乱 码 。 在 安装 wordpress 软 件 前 需要 建立 一 个 名 称 为 【wordpress】 的 数据 库 ， 
供 WordPress 使 用 ， 如 果 不 知道 如 何 建立 数据 库 ， 可 以 参考 LAMP 建 站 软件 需求 安装 中 的 mysql 
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操作 ， 来 创建 WordPress 需 要 的 数据 库 。 


30.2 安装 WordPress 软 件 


首先 进入 WordPress 目 录 ， 复 制 模板 配置 文件 并 将 其 重 命名 为 wp-configphp， 和 否则 无 法 配 
置 WordPress 软 件 。 


[root@localhost ~]# cd /var/www/html/wordpress // 进 入 Wordpress 目录 
[root@localhost wordpress]# cp wp-config-sample.php wp-config.php 


// 复 制 WordPress 模板 配置 文件 并 重 命名 为 wp-config.php 


编辑 WordPress 配 置 文件 ， 设 置 连接 MySQL 数 据 库 的 相关 配置 ， 并 设置 支持 语言 ， 配 置 完 
成 后 ， 保 存 退出 。 


[root@localhost wordpress]# vi wp-config.php // 编 辑 WordPress 配置 文件 
// ** MySQL 配置 - 您 可 以 从 主机 服务 提供 商 获取 相关 信息 。 ** // 

/** WordPress 的 数据 库 名 称 ， 请 更 改 "database name here" */ 

define ('DB NAME', 'wordpress') ; 

/** MySQL 数据 库 用户 名 称 ， 请 更 改 "username here" */ 

define ('DB USER', 'root') ; 

/** MySQL 数据 库 密码 ， 请 更 改 "password_here" */ 

define ('DB PASSWORD', 'Aa1234567') ; 

/xx MySQL 主机 地 址 */ 

define ('DB HOST', 'localhost') ; // 车 非 本 机 ， 则 输入 该 服务 器 IP 地 址 
/** 建立 数据 表 时 默认 的 文字 编码 */ 

define ('DB CHARSET', 'utf8') ; 

/xx 数据 库 对 照 型 态 。 如 果 不 确定 请 匆 更 改 。 */ 

define ('DB COLLATE', 'utf8 unicode ci') ; 

-中 间 省 略 …… 

/** 

* WordPress 本 地 化 语言 配置 。 默 认为 简体 中 文 。 

党 


* 举例 来 说 ， 要 使 用 WordPress 简体 中 文 界面 ， 只 需要 填 入 'zh CN'. 

* 更 改 此 配置 将 WordPress 本 地 化 。 对 应 的 MO 文件 必须 放置 于 wp-content/languages 目录 下 。 
* 举例 来 说 ， 将 zh_CN .mo 放置 于 wp-content/languages 内 并 将 WPLANG 配置 为 'zh_CN' 

* 使 用 简体 中 文 界面 。 

27 

define ('WPLANG', 'zh CN') ; // 默 认为 简体 中 文 zh_CN 


EH 


WordPress 配 置 文件 中 的 文字 若是 乱码 , 将 PuTTY 选 项 的 字符 编码 改 为 [ Unicode UTF-8 b 


Systen Default 
Multilingual Engine > v Unicode 


Unihan Conversion > 
CIK Macks 
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Blog (博客 ) ——WordPress 


WordPress 配 置 完成 后 ， 必 须 重新 启动 Apache 服 务 ， 配 置 才 会 生效 。 


[root@localhost wordpress]# service httpd restart 
Stopping httpd: o] 
Starting httpd: [ 


WordPress 配 置 完成 后 ， 在 浏览 器 中 输入 【http:// 耳 地址 /wordpress】， 显 示 WordPress 欢 迎 信 
息 和 配置 选项 ， 配 置 相关 信 息 后 ， 按 【安装 WordPress】。 默 认 管理 员 账 号 为 aamin， 可 以 依 需 
求 修改 账号 名 称 。 


a 


TIBET won RRS. RLM 
ENAN, Peri em AW. BAAN? mew 


ml 
RAZENIA. NN. QU. TM ASF O) ORE OR 


T. DIMER, miu. NEKEA. 


成 功 ! 
WordPress 安生 过 成 。 您 是 否 还 沉 温 在 从 的 安 枝 过 程 中 ? WEB, WEA! ) 
sdmin 


CREHTH. 


WordPress 控 制 台 登 录 界 面 为 http:WPP 地 址 /wordpress/wp-login.php。 


QU worvPress 
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WordPress 控 制 台 界面 为 http:/PP 地 址 /wordpress/wp-adminy/。 


aeu 


nim E 1 Wie nman 


AH twenty Oman. EGER 6 个 小 工 内 
DETEN WordPress 342+ 


max i 1Ps amanea 
1 jant oss 
o nE o nome WordPrem China STE 


RSS Mil: WP HTTP Error namo lookup umed ool 


VIT 


论坛 一 一 Discuzl 


Discuz! 官 方 网 站 :http://www.discuz.net/。 
Discuz! 是 一 款 可 免费 下 载 的 PHP 社 区 论坛 软件 系统 ， 简 称 DZ， 由 戴 志 康 〈Crossday) 所 创 


立 , A 


前 最 新 版 本 是 7.2。 前 身 为 Crossday Bulletin (CDB)， 最 初 改 自 XMB， 之 后 改写 成 为 现 


在 的 Discuz! 社区 论坛 软件 系统 ， 由 康 盛 创 想 所 有 。 现 在 Discuz! 已 成 为 用 户 使 用 最 多 的 社区 论 


坛 软件 


系统 。 


使 用 层面 : 


首页 友情 链接 设置 功能 ， 可 在 首页 直接 切换 隐身 功能 。 

可 在 页 面 上 直接 切换 模板 风格 ， 页 面 上 方 有 导航 栏 。 

版 块 区 包含 子 分 区 、 精 华 区 、 将 主题 表示 高 亮 、 彩 色 文字 标题 以 及 提高 / 降低 主题 位 
置 的 功能 。 

发 表 的 文章 可 以 在 线 编 辑 ， 也 可 以 创建 投票 ， 发 布 商品 、 是 赏 、 活 动 、 辨 论 等 。 
专属 个 人 网 页 ， 可 浏览 自己 的 所 有 私人 资料 ， 如 私人 短信 、 论 坛 状态 统计 等 。 

卷 标 功能 可 将 主题 分 门 别 类 ， 并 支持 搜寻 。 卷 标 总 表 会 在 首页 上 显示 。 

论坛 可 以 配置 积分 与 虚拟 金钱 制度 ， 可 到 “道具 商店 ”用 虚拟 金钱 来 换取 东西 ; 积分 
影响 到 用 户 可 以 使 用 的 功能 与 权限 ， 可 以 购买 文章 ， 并 可 与 其 他 会 员 互 通 有 无 。 
边栏 系统 ， 具 有 高 自由 度 自 定义 、 高 性 能 数据 缓冲 设计 ， 内 建 许多 常用 边栏 模块 ， 包 
括 会 员 排行 、 主 题 排 行 、 附 件 展示 、 首 页 聚合 等 各 种 功能 调用 。 


能 在 版 块 下 再 新 增 子 版 块 。 

可 选择 在 注册 程序 中 使 用 中 文 与 动态 化 的 验证 码 。 

可 选择 让 用 户 只 能 通过 邀请 码 来 注册 的 “邀请 注册 ”功能 。 

能 够 只 屏蔽 单 篇 文章 ， 可 实现 让 会 员 无 法 观看 但 站 务 人 员 可 观看 单 篇 的 功能 ， 如 有 需 
要 可 再 进行 解除 或 删除 的 处 理 。 
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a 


a 


a 


版 主 可 以 将 好 文章 的 链接 加 入 到 版 块 的 上 方 ， 与 置顶 不 同 的 是 ， 这 并 不 会 影响 浏览 主 


题 的 空间 ， 较 为 节省 空间 。 


系统 管理 与 个 人 配置 页 面 也 清楚 地 分 门 别 类 ， 以 便 进 行 详细 配置 。 可 以 自由 配置 好 友 
名 单 、 控 制 面板 。 

结合 了 电子 商务 的 功能 ， 可 以 自己 开设 虚拟 店面 ， 并 有 交易 明细 、 信 用 评价 的 功能 与 
机 制 。 


架构 层面 : 


a 
a 


a 
a 


a 


31.1 


大 量 运用 AJAX 以 加 快 使 用 流程 。 

内 建 多 种 模板 风格 ， 风 格 系统 模板 化 ， 有 可 视 化 编辑 器 ， 并 可 进行 一 键 安装 或 移 除 风 
格 、 插 件 。 

以 PHP 为 核心 ， 具 有 跨 平台 特性 ， 可 使 用 Apache ( 或 Microsoft Windows 中 的 IS ) 配合 
MySQL 运 行 Discuz!。 

可 与 插件 整合 ， 如 SupeSite、X-Space、SiteEngine、ShopEx 等 ， 可 在 论坛 中 使 用 ， 也 
可 只 在 管理 界面 中 使 用 。 

可 对 于 论坛 程序 以 及 模板 进行 扩充 。 


Discuz! 软 件 安 装 前 的 配置 


参考 LAMP 建 站 软件 需求 将 LAMP 环 境 安 装 好 ， 然 后 将 Discuz! 软 件 上 传 到 LAMP 服 务 器 ， 
可 以 利用 WinSCP 工 具 将 Discuz! 软 件 的 upload 目 录 上 传 到 Apache 网 页 目录 C/var/www/htmD F, 
并 将 文件 夹 重 命 名 为 【discuz】。 


FWO Hew) VO) SSC) SS) WHO) RR MHW 


ejuas-i5mxemsjs"iu-ivseo!m -1$- 
toot@192.16823325 | + | 
ao SH ie "iG" h am le-s- Badal’ 


划 
0BoltoBin0ol3 08 of 0BDo1 

(92 重 命名 了 7 mi ir Ee ire 移动 ar 创建 目录 X re WOR * 
8 sm3 QB, 110720 


检查 Apache 配 置 文件 是 否 支 持 UTF-8 编 码 ， 如 果 不 支持 UTF-8 编 码 ， 则 修改 成 UTF-8。 创 
建 一 个 名 称 为 【discuz】 的 数据 库 供 Discuz! 系 统 使 用 ， 如 果 不 知 道 如 何 创 建 数 据 库 ， 可 以 参考 
LAMP 建 站 软件 需求 ， 来 创建 Discuz! 所 需 的 数据 库 。 
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31.2 安装 Discuzl! 软 件 


安装 Discuz! 软 件 前 ， 必 须 进行 配置 ， 首 先进 入 Discuz! 目 录 ， 复 制 默认 全 局 配置 文件 
config global default.php 并 重 命名 为 config global.php 再 复制 config ucenter_defaultphp 配 置 文 
件 并 重 命 名 为 config_ucenter.php， 然 后 将 config、data、uc_server 目 录 权 限 设置 为 77， 另 外 也 
将 uc_client/data/cache 的 目录 权限 设置 为 777。 


[root@localhost ~]# cd /var/www/html/Discuz! // 进 入 Discuz! 目 录 

[root@localhost Discuz!]# cp config/config global default.php config/config global.php 
// 复 制 配置 文件 并 重 命名 

[root@localhost Discuz!]# cp config/config ucenter default.php config/config ucenter.php 
// 复 制 配置 文件 并 重 命名 

[root@localhost Discuz!]# chmod 777 -R config data uc server 

[root@localhost Discuz!]# chmod 777 uc client/data/cache 


配置 完成 后 ， 在 浏览 器 中 输入 【http://IP 地 址 /Discuzl/instal/】〗»， 显 示 安 装 向 导 ， 提 示 是 否 
接受 中 文 版 授权 协议 ， 按 【我 同意 】 继 续 安 装 ， 按 【我 不 同意 】 即 结束 安装 。 


Discuz! 安装 向 导 


Discuzlx2.5 je west 20120901 


MKR 适用 于 中 文 用 户 i 


ome | sme 


62001 - 2012 Comsenz Inc. 


相关 环境 配置 后 ， 就 该 配置 目录 权限 了 。 


Hs 
1 开始 安装 
e 于 情 以 及 文件 趾 录 机 机 检查 
ESUSUHR GRINNA [a E: 

®© 
E: 
5a Discuz! MERE Discuz! att SMES 
SiR TRH ET Y tnu 
PHP 版 本 ES 53 MESE 
mee Ed 2M v on 
DE 10 22 Y bundled (2.0.34 compatible) 
ecd 104 TRA Y 146600 


安装 环境 必须 符合 所 有 条 件 ， 将 相关 文件 及 目录 权限 配置 为 777。 
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[root@localhost ~]# cd /var/www/html/Discuz! 
[root@localhost Discuz!]# chmod 777 config.inc.php attachments forumdata forumdata/cache 
forumdata/templates forumdata/threadcaches forumdata/logs uc client/data/cache 


权限 配置 完毕 后 ， 重 新 刷新 Discuz! 网 页 ， 显 示 当 前 状态 即 为 可 写 。 


EU 


4444444444 


设置 运行 环境 ， 此 处 为 全 新 安装 ， 所 以 选择 【全 新 安装 Discuz!lX( 含 UCenter Server) ], 
按 【 下 一 步 】。 


2 设置 运行 环境 


amine namas 
(e 


© OK. Discus! X (&& center Server) 


mo! X (FIRRCERRN Cent 


tejre 


在 【安装 数据 库 】 选 项 中 ， 数 据 库 服务 器 就 是 MySQL 数 据 库 服务 器 ， 默 认为 localhost， 除 
非 是 其 他 的 数据 库 服务 器 ， 否 则 不 修改 。 数 据 库 名 为 Discuz! 所 使 用 的 数据 库 ， 数 据 库 用 户 名 
和 密码 则 输入 拥有 Discuz! 数 据 库 的 账号 和 密码 ， 其 他 使 用 默认 配置 。 


smena zsz E 


3， 安装 数据 库 
o ESS o i 


SUBEREH 
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配置 Discuz! 管 理 员 账号 默认 为 admin 配置 管理 员 密码 及 E-mail 配置 完成 后 , TZ FE. 


| BRRERTEAE 


ER 
BEA Email admind comsenz com. 


Pitta: I) setzielesti ( On) 
HBI JP Thee: 
FETAH: 
FERH: 


开始 创建 数据 库 ， 在 数据 库 安装 过 程 中 ， 请 勿 关闭 浏览 器 以 免 安装 失败 。 
.安装 数据 库 
Sim oun 


EMEA ore commen smiley ... Rah 
RH 


mx 
RD 


数据 库 安 装 成 功 后 ， 安 装 向 导 提示 安装 成 功 。 
Discuz! 安装 向 导 


saszIX2 5 简体 四 UTER I 20120901 


窑 半 成功， 欢迎 开通 DiscuzI 云 平台 


Doce SER FARR CHORDS e ARRA EO. SPD 


若 可 以 打开 Discuz! 首 页 的 话 ， 记 得 将 Install 安 装 目录 改名 或 删除 。 


[root@localhost Discuz!]# mv install install old 


FEM V 28 PA. Dhttp//IPHiHiE/Discuz!], 4] FFDiscuz! 首页 ， 下 图 所 示 为 Discuz! 默认 版 
面 ， 可 以 进入 管理 员 管 理 中 心 去 配置 。 
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taad 
T 


输入 用 户 账号 和 密码 ，Discuz! 安 装 完成 后 只 有 管理 员 账 号 
使 用 其 他 用 户 登 录 。 在 用 户 个 人 中 心 ， 配 置 账 户 信息 。 


Aone FR Comey be 


， 如 果 注 册 了 其 他 用 户 ， 可 以 


PILIS 


USE PRR OHARA TRA: MERRY 5 E- PEHAR i5 66 


m 


在 Discuz! 管 理 员 管理 中 心 ， 打 开 浏览 器 ， 输 入 【http:/PP 地 址 


输入 管理 员 账 号 和 密码 。 


[I 
emm mmeo n 
Baa- AP am 

TUS 


[eem GUN Comme ne 


Discuz! 管理 
Discuz! & iR 篇 下 Cor 
HEAT SA 


登录 


中 心 后 ， 请 依 需 求 修改 ， 这 里 不 再 多 说 。 
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/DiscuzVadmincp.php】， 然 后 
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Eyr 


百科 MediaWiki 


MediaWiki 官 方 网 站 : http://www.mediawiki.org/wiki/Download/zh-hans 

你 可 能 知道 维基 百科 这 部 自由 的 百科 全 书 , 但 可 能 对 一 些 相似 但 是 不 同 的 名 词 感到 困惑 ， 
如 维基 (Wiki)、 维 基 百 科 (Wikipedia), HEAL (Wikimedia), MediaWiki 或 MediaZilla。 

MediaWiki 是 一 个 运行 在 服务 器 端的 自由 软件 ， 基 于 GNU General Public License (GPL 协 
WO 发 行 。 它 能 够 平稳 地 运行 在 日 访问 量 上 百 万 的 网 站 服务 器 集群 中 。MediaWiki 是 一 个 强大 、 
可 扩展 、 功 能 丰富 的 维基 软件 ， 它 使 用 PHP 技 术 来 访问 和 显示 存储 在 MySQL 数 据 库 中 的 数据 。 

使 用 MediaWiki 的 维基 文本 格式 ， 用 户 不 懂得 XHTML 或 CSS 也 可 以 很 容易 地 编辑 内 容 。 

当 一 个 用 户 提交 一 个 编辑 给 一 个 页 面 时 ，MediaWiki 会 将 它 写 入 数据 库 ， 但 是 不 会 删除 这 
个 页 面 的 先前 版 本 ， 这 使 得 页 面 遭 到 故意 破坏 或 垃圾 信息 干扰 时 可 以 快速 恢复 。MediaWiki 也 
可 以 管理 图 像 和 多 媒体 文件 ， 这 些 文件 存储 在 文件 系统 中 。 对 于 拥有 大 量 用 户 的 大 型 维基 站 
点 ，MediaWiki 支 持 缓存 ， 并 且 可 以 很 容易 地 添加 Squid 代 理 服务 器 软件 。 


32.1 MediaWiki 软 件 安装 前 的 配置 


参考 LAMP 建 站 软件 需求 将 LAMP 环 境 安装 好 ， 再 创建 一 个 名 称 为 【mediawiki】 的 数据 库 
供 MediaWiki 使 用 ， 如 果 不 知道 如 何 创建 数据 库 ， 可 以 参考 LAMP 建 站 软件 ， 来 创建 MediaWiki 
所 需 的 数据 库 。 
使 用 wget 命 令 方 式 下 载 MediaWiki 软 件 ， 然 后 解压 缩 MediaWiki 软 件 ， 将 解压 缩 后 的 
MediaWiki 目 录 复制 至 Apache 网 页 目录 下 ， 并 将 目录 权限 设置 为 apache。 
[root@localhost ~]# wget 
http://download.wikimedia.org/mediawiki/1.19/mediawiki-1.19.2.tar.gz 
-中 间 省 略 .… 
[root@localhost ~]# tar -zxvf mediawiki-1.19.2.tar.gz 
-中 间 省 略 .… 
[root@localhost ~]# mv mediawiki-1.19.2 /var/www/html/mediawiki 
[root@localhost ~]# chown -R apache. /var/www/html/mediawiki 
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32.2 安装 MediaWiki 软 件 
在 浏览 器 中 输入 【http:// 人 地 址 地 址 /mediawiki】，MediaWiki 安 装 程序 会 提示 没有 


LocalSettings.php 文 件 ， 所 以 不 能 安装 MediaWiki 软 件 ， 单 击 【set up the wiki】 进 入 MediaWiki 
安装 程序 。 


MediaWiki 1.19.2 
LocalSettngs.php not found. 


Please set up the wiki first. 


在 MediaWiki 安 装 程序 中 配置 语言 ， 默 认 会 根据 系统 及 浏览 器 语言 自动 选择 ， 如 果 确 定 无 
误 ， 按 【继续 】 
语言 
您 使 用 的 语言 : 


cum 
zhon- 中 文 (中 国 大陆 ) 


Wiki 使 用 的 语言: 
mmm 


zhen- (PEAT) z] 
au 


下 面 是 MediaWiki 安 装 程序 欢迎 界面 ， 阅 读 完毕 后 ， 按 【继续 】 


cit (b FR MediaWiki ! 
已 有 wii 


环境 检查 -xatm 
RIS NOTA IRR PUR Io d a WIR EROR BD AEREo IR AE ETE AERD. MRH Mew 
AREAN E v 

= PHP533emE. 

* WR s 找 不 到 APC 由 Cache @RWinCache@) X; ERI RR 
Object caching is not enabled 

* GSI RMCORE- 1S ER 7 EENE. RINE A - 

= EBB S "htipi/192.168.233.10" « 

= 局 用 服务 器 URL “http:/192.158 233 10/vilo" = 

^ SA: GAVE LHR vor oes htmly vii / amaaay f CACTUS ERE d 
lo REMeliawkias HIELO LRaCHORCTER IEEE. ORNAR ETENE 


a 
=” 要 告 :inil PECURE GERAU ERE MOM ARMS TINAPHPR TTR» HON 380588 — MERENG 
Se Ee FlUnicoce TER AG S e 
环境 检查 已 经 完成 。 你 可 以 安装 Medlayiki。 


版 权 和 条 款 

SWikikiModiaWiki CARE)» HIRAI © 2001-2012 Magnus Mancko > Brion Vibbor~ Lao Daniel Crocker、 Tim Starting > Erik 
Moliar 、 Gabrio! Wicke » Eva Amford Bjarmason 、 Niklas Laxstrom > Domas Mituzas » Rob Church ~ Yuri Actrakhan ~ Aryoh 
Gregor» Aaron Schulz : Andiow Garrett» Raimond Spekking » imeenhuber 、 Siebrand Mazeland » Chad Horohoe 、 
Roan Kattouw , Tievor Parscal > Biyan Tong Minh 、 Sem Reeds iev, Rotern Liss > Platonides 、 Antoine Musso 和 其 
fhe 

ZHRADARE TARO RTS SKARMONUERASONSRAS, EC EIAS / Rives 无 论 您 依据 的 
PARRIN CEBTIRRED Hee HINEE - 

SARS AIEO DIUDE S «PETI EMNI Rc RES TERESAS HENNEN EMANET NASE 
GNU 通 用 公共 授权 ~ 

你 应 电站 到 时 随 于 本 程序 的 GNU 区 用 公共 霸权 的 到 本 :如果 溉 有 ， 请 写 信和 至 自由 次 件 基金 会: £9 Temple Place- Suite 330, 
Boston, Ma 02111-1307, USA» RESITA Pe 


-Eaj se 


在 MediaWiki 安 装 程序 中 配置 数据 库 类 型 ， 默 认 使 用 MySQL， 数 据 库 服务 器 位 置 默 认为 
localhost 本 机 ， 如 果 MySQL 数据库 服务 器 为 其 他 主机 ， 请 修改 为 数据 库 服 务 器 的 耳 地 址 ， 并 
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放 3306 端 口 ， 以 免 无 法 连接 数据 库 。 


ET 
© MySQL 
C SQLite 


MysQUE S 


gmueeru. 
[74 


fams —— sn 


Ld 


ABER: 
DRD 

[maaa 
munem: 
oath 


m 


配置 数据 库 用 户 名 和 密码 ， 输 入 完毕 后 ， 按 【继续 】。 


FLAS 


eH Pe: 
oam 
z 


AEREA: 
Em 


pess SCS 


EN 


在 【数据 库 设 置 】 的 【 供 网 页 访问 使 用 的 数据 库 账号 】 中 ， 色 选 【使 用 和 安装 程序 相同 的 
账号 】 其 他 配置 保留 默认 选项 ， 按 【继续 】 
数据 库 设 置 


DIES dveemma esce 
厅 emir ua remp e 


BH£STH: 
Bam 


* € Swit: Jeny IT WIN 
+ CRB 
. CREED 


配置 MediaWiki 网 站 管理 员 账 号 和 密码 ， 自 定义 输入 ， 到 这 一 步 其 实 就 可 以 完成 安装 了 ， 
不 过 这 里 继续 介绍 高 级 配置 ， 所 以 选择 【多 问 我 一 些 问题 吧 。】 按 【 继 续 】。 
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第 32 章 
Be MediaWiki 


TRO mam 


(gj BATONRAKT!NGOSURUNTDNEAMS2NTR-A:- | 


md 
*OCOKOHTMAT. HEMER 


ETE 
客户 端 权 限 配 置 ， 默 认为 【传统 wiki】 代 表 所 有 人 都 可 以 编辑 ， 包 含 未 注册 的 用 户 ， 建 议 
配置 为 【需要 注册 账号 】 


eveasv 
+ hassar 
m 

+88 

-a 


RAUMATI RABREYSR: RI. FARHA BROMINE 
31-085 BAN 

IF RIRPGAPEA AE. EF38ERD- TURNER. CHAE 
ani 


ETE d 
BRESIMPXS. MER 


PETRE. TERONAACRENPS. CROMER. PRUNAS S- 


版 权 和 许可 证 默认 使 用 【页 脚 无 许可 证 】。 


版 权 和 许可 证 : 
， C 知识 共享 署名 
. C HABERE BASSE 
+ C 知识 共享 署名 非 商业 性 使 用 相同 方式 共享 
* C HiB4BZeo (AMW) 
* C iiid 
* C GNU 自 由 文 村 许可 证 1.3 或 更 高 版 本 
* © RWERE 
+ O 选择 自 定义 的 知识 共享 许可 证 
CN 


配置 是 否 启 用 出 站 电子 邮件 ， 默 认 一 定 不 是 所 要 使 用 的 电子 邮件 ， 先 保留 默认 ， 待 安装 完 
后 再 进行 配置 。 


[us 

F erate 
Er 
回复 电子 邮件 地 址 : 

[pscne@192 168.253.10 

ann 

万 启用 月 户 到 用 广 的 电子 邮 生 
oam 

r 启用 月 户 寺 论 南通 知 
mæn 

r engankan 
[E 

F 启用 电子 邮件 身份 站 证 
oan 
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图 片 和 文件 上 传 ， 默 认 不 启用 文件 上 传 ， 可 依 需 求情 况 启用 ， 按 【继续 】 


T 自用 文件 上 伟 


标志 URLz 
mam 


[vakzskinsicommonimagas vic: png 
um 


m 
T 启用 即时 共享 资源 


BRE 


p 
*o06 Xd" CHER. CURADWK PG e HIE EA) 
* C güMercached (BRERA ARE) 

| ma 


E 
- 切 配置 完成 后 ， 安 装 程序 会 进行 安装 前 的 最 后 确认 ， 确 认 无 误 后 ， 按 【继续 】 


g PLI EE TMP RMedicWikie 如 果 您 还 想 对 配置 作 一 些 修改 ， 清 点 击 后 明 。 


MediaWiki 安 装 程序 开始 安装 配置 ， 安 装 完成 后 ， 按 【继续 】。 
E 


* EGER AM 

* 正在 创建 数据 夫 SUR 

* 正在 创建 数据 诛 用 户 .完成 

。 正在 填充 默认 的 跨 wiki 数 据 表 完成 


* 初始 化 统计 … 完 成 

。 RER. ZM 

* 正在 创建 管理 员 用 户 帐 号 .完成 

* 正在 创建 显示 默认 内 容 的 首页 .完成 


安装 完成 后 ，MediaWiki 安 装 程序 会 产生 一 个 LocalSettings.php 文 件 ， 提 示 需 要 下 载 ， 此 文 
件 为 MediaWiki 网 站 的 配置 文件 ， 所 以 先 下 载 到 本 机 硬盘 上 。 


BE! 您 已 经 奔 功 地 安 鞭 了 MaaWikie 
FEBRBESTHTLccalSettings.pnoR t EE TRISTE > 
EEBETÓiTÉ. Ms wk EB Cinder php 的 局 如 目录 ) ho MENMHSDF i 
ngacscosgrtTé. AAMAS, GuUsd NNSA TS: 
& 下 载 LocalSettings php 
注意 : MAGRATARASR. RZRANRELL TREE. MECKHALER HERR 
Re 
MESERKE. 您 可 以 迁 入 您 的 wiki 字 。 


下 载 MediaWiki 配 置 文件 后 ， 利 用 WinSCP 工 具 将 文件 上 传 到 MediaWiki 网 站 目录 。 
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Be MediaWiki 


TANE MEELT A 
rooke13216823310| + | 
tal FEDE PICE TERE 


Brains 3.5.3 +i 
Bnr re 


Bizecasettings php 4,523 B root 201: 

edi Wiki v1.19.1. zip Llopensearch dese. php 3,080 B apache 2017 

Topensearch desc. phpS 38 B apache 2014 

[i grofileinfo php 9,430 B apache 2017 

REDE 414 B apache — 2017 

redirect. php S10 B apache 2014 
redirect. phos SLB apache — 2012 

4,5238 of $0,716 KB in 1 of 26 4523 of 614 KB in 1 of 43 

LX In EIS Ell 4 XF R - 


8 sues @ 31816 | 


然后 回 到 MediaWiki 安 装 程序 ， 进 入 Wiki， 如 下 所 示 ， 代 表 安 装 完成 。 


II 


mao" renz ux wm] 


mT RMediawiss- 
ARANNA CUBIUDetitham: 


入 门 


SFM Goran RENE) 2904 
RMBM Tovg AER) 


按 右上 角 的 【登录 /创建 账户 】〗 一 开始 只 能 使 用 管理 员 账 号 和 密码 登录 ， 输 入 完毕 后 ， 按 
CGR). 
登录 /创建 账户 
EI 


RAKAT UREA. 
PE MBAConkies ARBFlory TMK e 


D OEHONSEERERGERIR (RHIDE) 
SR|-cramasaer 


登录 后 ， MediaWiki 首 页 右上 角 就 会 显示 选项 可 以 进行 配置 ， 有 关 详细 配置 可 以 自行 摸索 。 


éJeny BAHN BIKA 监视 列表 AAA gun 


ae ea xüne ~ [—  HxJ8| 
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VMware Player 4 一 一 创建 CentOS 练 习 环境 


VMware Player 官 方 网 站 : http://www.vmware.com/products/player/overv.ew.html. 

VMware Player 是 一 款 可 免费 下 载 的 虚拟 化 软件 ， 以 往 版 本 只 具有 开启 虚拟 机 的 功能 ， 到 
第 三 版 时 可 以 建立 虚拟 机 ， 如 今 VirtualBox、Hyper-V Server 等 虚拟 化 产品 陆续 推出 免费 版 本 ， 
这 算是 VMware 的 重大 突破 ，VMware 宣 称 优 于 Windows 7 XP mode， 可 见 VMware 感 觉 免 费 使 
用 已 渐渐 影响 到 虚拟 化 市 场 的 占有 有 率 ，VMware Player 可 以 支持 Windows 7 系统 ( 含 Host 跟 
Guest OS) 及 OpenGL 功 能 ， 支 持 32/64 位 操作 系统 ，4 个 CPU 及 32GB 内 存 。 


下 载 VMware Player 4 需 知 


以 前 需要 注册 免费 账号 后 才 可 以 下 载 ， 申 请 账号 时 需要 企业 的 电子 邮件 ， 条 件 比较 严格 ， 
免费 信箱 都 不 可 以 注册 ， 不 过 后 来 可 以 接受 使 用 hotmail 注 册 ， 申 请 注册 完成 后 ， 就 可 以 开始 
下 载 了 ， 选 择 for 32-bit and 64-bit Windows 下 载 。 


Download Information 


VMware Player 4 


re Player 4.0 for 


Indows 32-bit and 64-bit exe Installation fle 


ef2d01tbb0800819cada 
40c55bf87fes3603163bac143d8 


介绍 使 用 VMware Player 虚 拟 化 软件 ， 是 为 了 方便 大 家 在 安装 VMware Player 后 ， 可 以 将 
CentOS 操 作 系统 安装 在 VMware Player 虚 拟 机 上 ， 这 样 就 不 用 将 CentOS 操 作 系 统 安装 在 另 一 台 
实体 计算 机 上 ， 只 要 使 用 少量 的 资源 就 可 以 运行 CentOS 操 作 系统 ， 练 习 使 用 CentOS 起 来 就 更 
加 得 心 应 手 。 


VMware Player 4 安装 步骤 


€x 下 载 VMware Player 4 安装 文件 后 ， 选 择 VMware Player 4 执行 程序 进行 安装 。 
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vmwal 


VMware 


Player 4 


@ 出 现 VMware Player 4 欢迎 安装 画面 ， 单 击 【 Next h 


VMware Player Setup 


computer. To continue, 


VMware 


Player4 


Welcome to the installation wizard for VMware 
Player 


The installation wizard wil install VMware Player on your. 
s, dick Next. 


WARNING: This program is protected by copyright law and. 
international treaties. 


Next > 


[canet 


€I 选择 VMware Player 4 的 安装 路 径 ， 建 议 不 要 修改 ， 如 果 需 要 修改 路 径 ， 单 击 


【 Change ]， 确 定好 安装 路 径 后 ， 按 【Next h 


VMware Player Setup. 


-r o- 
Destination Folder EZD 
 Cik Next to install to this folder or cick Change to instal to a different folder. f 


x 


Grange. 


CX 。 提示 开始 运行 软件 的 时 候 是 否 检查 新 版 本 ,默认 勾 选 [ Check for product updates 


on startup ] [Next 


E seo 
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Vi 
OEE 
[VMware Player Setup = — 
Software 


eis 


ees 


€» 


Cosme Je) cee) 


提示 


【 Next L 


VMware Player Setup 


户 是 否 体验 改善 计划 ， 默 认 色 选 【 Help improve VMware Player ], 1€ 


User Experience Improvement Program 
‘Would you ike to send feedback to VMware! 


[V] Help improve VMware Player 


Send anonymous system data and usage statistics ta VMware. 


提示 创建 VMware Player 软 件 快捷 方式 的 位 置 ， 可 以 创建 于 桌面 ( Desktop )、 


开始 菜单 程序 文件 夹 ( Start Menu Pro; 
选 ， 设 置 完毕 后 ， 按 【 Next 


VMware Player Setup 


grams folder )， 默 认 全 选 ， 可 根据 需求 勾 


Shortcuts 
‘Select the shortcuts you wish to place on your system. 


Create choctzuts for VMware Player in the folowing places: 
加 geskop 


[Z] Start Menu Programs folder 


提示 安装 VMware Player 的 过 程 没有 人 


E 何 问题 ， 按 【 Continue 】 进 行 安装 。 
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VMware Player Setup -— 
Ready to Perform the Requested Operations GA. 
Click Continue to begin the process. 
1f you want to review or change any of your installation settings, dick Back. Click Cancel to 
exit the wizard, 


€X308  vMware Player 安 装 正在 进行 。 


VMware Player Setup. 


Performing the Requested Operations 


Please wait while the wizard performs the requested operation. This may take several 
minutes. 


Status: Instaling and configuring additonal component 
C: Users ADMINI ~ 1\AppData\LocaiTemp\vmware_1318515126\varedist_x86.exe 


Q0 VMware Player 安 装 完成 后 ,会 要 求 重新 启动 ,建议 立即 重新 启动 ,这 样 VMware 
Player 安 装配 置 才 可 以 生效 ， 按 【 Restart Now l 


VMware Player Setup. one 


^J The setup wizard needs to restart your system in order to 
complete its operations, cick Restart Now to initiate a reboot, or 
Restart Later if you plan to restart your system later. 


VMware 


Player4 


88 
注意 , 若 计算 机 中 有 安装 还 原 设 备 ， 请 稍 后 重新 启动 ， 按 Restart Later], VMware Player 


vi 


还 可 以 运行 。 
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CET VMware Player 安 装 完成 后 ， 会 在 计算 机 中 增加 两 块 VMware 虚拟 网 卡 
【VMnetl ] & [ VMnet8 】， 如 下 图 所 示 。 


VMware Network Adapter 站 VMware Network Adapter 
VMnetl A. VMnet8 


P scones 4? soups 


=) WAN 
A: ARRIE 
Realtek RTL8168C(P)/8111C(P)... 


创建 虚拟 机 


下 面 介绍 该 如 何 创建 一 个 虚拟 机 ， 以 便 安装 CentOS 操 作 系 统 。 


HI) VMware Player 4 第 一 次 开启 时 会 出 现 License Agreement 授 权 询 问 , 选择 【 Yes I 
accept the terms in the license agreement 】 再 按 [OK] 


VMWARE END USER LICENSE ACREEMENT 


IMPORTANT-READ CAREFULLY: BY DOWNLOADING. 
INSTALLING, OR USING THE SOFTWARE, YOU (THE 


[INDIVIDUAL OR LEGAL ENTITY) AGREE TO BE BOUND BY THE 
[TERMS OF THIS END USER LICENSE AGREEMENT (‘TULA"). IF 
YOU DO NOT AGREE TO THE TERMS OF THIS EULA, YOU MUST. 
[NOT DOWNLOAD, INSTALL, OR USE THE SOFTWARE, AND YOU 
[MUST DELETE OR RETURN THE UNUSED SOFTWARE TO THE — . 


(8 Tes, 1 acest the tems n be ee ayeenent 
No, i donot accent he terns n me lane agreerent 


Ca 


€XX302 显示 vVMware Player 4 窗口 , 目前 没有 创建 任何 虚拟 机 , 按 [ Create a New Virtual 
Machine 】 创 建新 的 虚拟 机 。 


Welcome to VMware Player 


1, Create a New Virtual Machine 


ate rem rta masne, va d Pula 
Ee v Pe to vd ray. 


Open a Virtual Machine 


Doen on eo re masne. are M 
Sawa te SO of vas ber 


Upgrade to VMware Workstation 


at ated estrena qa 
Sate tering aan, aaa 


Help 
ped 


EI 开始 创建 虚拟 机 时 要 选择 安装 文件 来 源 ， 可 以 使 用 光驱 或 者 ISO 文件 安装 先 
不 选择 任何 安装 来 源 ， 待 建立 完成 后 再 进行 设置 ， 选 择 【I will install the 
operating system later ]， 按 【 Next], 
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T — 选择 操作 系统 类 型 【 Linux 】 后 ， 由 于 要 安装 CentOS x86 _ 64， 所 以 【 Version 】 
选择 【 CentOS 64-bit ], 4È [ Next], 


Select a Guest Operating System 
Which operating system wil be installed on this virtual machine? 


DE O ae ow 


€XX 。 输入 虚拟 机 的 名 称 , 存放 路 径 也 会 依 所 输入 的 虚拟 机 名 称 而 改变 , 存储 目录 建 
议 尽 量 放置 在 不 同 的 硬盘 上 ， 效 果 也 比较 好 一 点 ， 设 置 完 成 后 ， 按 【 Next]; 
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设置 硬盘 容量 ， 默 认为 20GB 动 态 硬盘 容量 ， 若 需要 更 大 的 硬盘 容量 ， 可 根据 
实际 硬盘 容量 设置 ， 但 不 要 超过 实体 硬盘 的 可 用 空间 ， 按 【 Next 


Specify Disk Capacity 
How large do you want this disk to be? 


CEO 虚拟 机 大 致 创建 完成 ， 接 下 来 配置 虚拟 机 ， 按 【 Customize Hardware b 


Virtual Machin, [x] 
Ready to Create Virtual Machine. 
Ckck Finish to create the virtual machine, Then you can install CentOS 


ero CD/DVD, Floppy, USB Controller, Printer, Sou... 


Lose | [prt] cancel | 


Io HFA, CentOS 6x 操 作 系统 建议 设置 1GB 以 上 ， 除 了 安装 图 形 界面 时 需要 
较 大 的 内 存 外 ， 如 果 操 作 系统 已 安装 图 形 界 面 ， 那 就 有 需要 1GB 左 右 的 内 存 ， 
否则 无 法 安装 成 功 , 若 没 有 安装 图 形 界面 , 可 以 在 操作 系统 安装 完毕 后 , 再 将 
内 存 容 量 修改 为 1GB 以 下 。 
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EIo 。 CPU 处 理 器 部 分 ， 可 以 根据 需求 设置 ， 操 作 系统 至 少 需要 一 个 处 理 器 。 


EIo 网络 部 分 ,默认 为 NAT 模 式 ， 对 外 服务 就 要 经 过 比较 多 的 设置 , 所 以 建议 使 用 
Bridged 模 式 ， 这 样 就 如 同 与 实体 主机 使 用 同一 张 网 卡 ， 对 外 服务 也 较 方便 。 


人 ET) 内存、 处 理 器 、 网 络 设置 完成 后 ， 就 要 设置 安装 来 源 ， 建 议 使 用 ISO 安装 ， 其 
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m 


[EA 


安装 速度 比 光驱 快 ， 选 择 【 Use ISO image file ]， 然 后 选择 CentOS 6.x 操 作 系统 
的 ISO 文件 ， 设 置 完成 后 ， 按 【 Close 】 结 束 虚拟 机 设置 。 


[eorom 


li 


tts | tere | 


on | | 


CID 虚拟 机 设置 完成 后 ， 按 【 Finish 】 结 束 设置 ，VMware Player 就 会 建立 虚拟 机 。 


Ready to Create Virtual Machine 
Cick Finish to create the virtual machine. Then you can install CentOS. 
Es 


The vrtual machine wil be created with the Following settings: 


[prem 
Location. E:\centosBx\centoxt-6 
Version: 


Operating Sy... CentOS 64-bit 
Hard Disk 20 GB, Split 
Network Adap... Bridged 
Other Devices 


<Back | Finish. |. Cancel | 
CLI5» VMware Player 4 窗口 中 可 以 看 到 刚 建立 的 虚拟 机 ， 接 下 来 按 【 Play virtual 


machine }】， 启 动 虚拟 机 ， 就 可 以 开始 安装 CentOS 操 作 系统 了 ， 有 关 安 装 步骤 ， 
请 参见 其 他 章节 的 介绍 。 


CentOS 64-bit 
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使 用 Fedora LiveUSB Creator 创 建 USB 随 身 系统 盘 


Fedora LiveUSB Creator 官 方 网 站 : https://fedorahosted.org/liveusb-creator/ 

Fedora LiveUSB Creator 是 一 款 免 费 制作 USB 随身 系统 盘 的 软件 ， 可 以 将 Linux 提 供 的 Live 
CD 制作 到 USB 上 ， 这 样 不 仅 可 以 省 去 光盘 ， 也 提高 了 访问 速度 ， 更 重要 的 是 生成 的 数据 也 可 
以 写 入 USB 中 ， 只 要 计算 机 支持 USB 开 机 ， 就 可 以 使 用 此 软件 创建 的 USB 随身 系统 盘 ， 笔 者 
介绍 它 的 目的 就 是 要 让 使 用 者 在 任何 地 方 都 可 以 马上 练习 使 用 CentOS 系 统 ， 不 用 一 步 一 步 将 
环境 设置 好 再 练习 。 


下 载 Fedora LiveUSB Creator 软 件 


目前 最 新 版 本 为 3.11.1 版 本 ， 请 到 官方 网 站 下 载 。 


https://fedorahosted.org/releases/l/i/liveusb-creator/liveusb-creator-3.11.1-setup.exe 


Live Linux USB 的 制作 


打开 Fedora LiveUSB Creator 后， 制作 数 据 源 有 两 种 方法 ， 一 种 是 使 用 Browse 选 项 抓 取 已 
经 存在 的 Live CD ISO， 另 一 种 就 是 使 用 Download Fedora 选 项 下 载 Fedora Live CD ISO， 建 议 使 
用 Browse 选 项 抓 取 已 经 存在 的 Live CD ISO， 这 样 比较 节省 下 载 时 间 ， 毕 竟 Fedora LiveUSB 
Creator 下 载 需要 很 长 的 时 间 ， 若 遇 到 要 制作 多 个 USB， 就 会 很 浪费 带宽 ，Live CD ISO 容量 为 
六 百 多 兆 ， 还 可 以 自行 创建 其 他 版 本 的 Linux， 如 CentOS、Redhat、ubuntu、 openSUSE 等 ， iX 
里 使 用 CentOS-6.3-x86_64-LiveCD iso 制作 USB。 


附录 已 
使 用 Fedora LiveUSB Creator 创建 USB 随身 系统 盘 


fedora” 
Live USB Creator 


Use existing Live CD Download Fedora 
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Target Device 


Persistent Storage (0 Mb) 
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4% [Browse] Ja, 
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Live CD 一 定 要 是 CD 版 ， 不 可 以 是 DVD 版 本 ， 否 则 制作 完成 也 无 法 开机 。 


选择 CentOS-6.3-x86_64-LiveCD iso 后 , 在 【TargetDevice】 中 选择 所 要 写 入 的 USB 驱 动 号 ， 
这 里 选择 I 磁盘 这 个 USB 驱 动 号 ， 一 切 就 绪 后 ， 按 【Create Live USB】 开 始 制作 。 
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CentOS 6.x 系统 管理 实战 宝典 


CentOS 的 Live CD 要 制作 成 USB 大 约 需 要 10 分 钟 的 时 间 ， 实 际 速度 依赖 于 实际 环境 ， 如 下 
图 所 示 ， 制 作 USB 完 成 后 ， 可 以 找 一 台 计算 机 测试 可 不 可 以 开机 进入 系统 ， 记 得 要 选择 USB- 
Floppy 或 USB HDD 开 机 ， 否 则 会 无 法 开机 成 功 。 


T Fedora LiveUSB Creator EX) 


fedora? T EN 
Live USB Creator 
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使 用 UNetbootin 创 建 USB 随 身 系 统 盘 


UNetbootin 官 方 网 站 : http://unetbootin.sourceforge.net/。 

UNetbootin 是 一 款 免费 制作 USB 随 身 Linux 系 统 盘 的 软件 可 以 将 Linux 提 供 的 Live CD 制作 
到 USB 上 ， 这 样 不 仅 可 以 省 去 光盘 ， 访 问 速度 也 比较 快 ， 更 重要 的 是 生成 的 数据 也 可 以 写 入 到 
USB 随 身 Linux 系 统 盘 中 ， 只 要 计算 机 支持 USB 开 机 ， 就 可 以 使 用 此 软件 创建 的 USB 随 身 Linux 
系统 盘 ，UNetbootin 支 持 的 版 本 也 有 多 种 ， 笔 者 介绍 它 的 目的 就 是 要 让 使 用 者 在 任何 地 方 都 可 
以 马上 使 用 CentOS 操 作 系统 ， 不 用 一 步 一 步 将 环境 设置 好 。 


UNetbootin 软 件 下 载 
目前 最 新 版 本 为 563 版 本 ， 请 到 官方 网 站 下 载 。 


F 载 地 Hb 为 http://ncu.dl.sourceforge.net/project/unetbootin/UNetbootin/563/unetbootin- 


windows-563.exe. 


支持 的 Linux 系 统 列 表 


下 表 为 UNetbootin 所 支持 的 Linux 操 作 系统 版 本 ， 最 新 版 本 可 以 参考 官方 网 站 : 


Linux 名 称 

Ubuntu (http://www.ubuntu.com) 8.04LTS, 8.10, 9.04, 9.10, 10.4, 10.11. 11.4, 11.10 
Debian (http://www.debian.org) Stable/Lenny. Testing/Squeeze. Unstable/Sid 
openSUSE (http://www.opensuse.org) 10.2, 10.3. 11.0. 11.1 

FreeBSD (http://www.freebsd.org) 6.3. 7.0. 7.2. 8.0 

Fedora (http://fedoraproject.org) 10. 11. 12. 13. 14, 15 

CentOS (http://www.centos.org) 4. 5 

Mandriva (http://www.mandriva.com/) 2007.1, 2008.0. 2008.1 
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制作 Live Linux USB 的 步骤 


UNetbootin 可 以 通过 镜像 网 站 提取 发 行 版 本 文件 ， 软 件 会 自动 下 载 制作 ， 此 方式 比较 耗 
时 、 制 作成 功率 不 高 ， 另 一 种 方式 是 在 映像 文件 中 读 取 Live CD ISO 文件 ， 如 下 图 所 示 ， 此 方 
式 比较 稳定 快速 ， 选 取 好 ISO 文件 后 ,【 类 型 】 选 择 【USB 驱 动 器 } 【驱动 器 】 选 择 所 要 写 入 
的 USB 驱 动 号 ， 设 置 完成 后 ， 按 下 【确定 】 开 始 制作 。 


re CUina iso [ 


boots Obaatn ey): 0 EL 


正 从 zhsetvmaiaazg (ERIS MCI 


制作 完成 后 ， 可 以 立即 重新 启动 进行 测试 ， 记 得 要 选择 USB- Floppy 或 USBHDD 开 机 ， 否 
则 无 法 开机 成 功 。 
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| 1! | 链接 文件 
| | 块 设备 文件 
字符 设备 文件 


以 读 取 文件 或 目录 内 容 
[以 创建 、 修 改 、 删 除 文件 或 目录 


权限 表示 法 一 权限 表示 法 二 


CentOS 6.x 系统 管理 实战 宝典 


取 

读 取 + 写 入 

所 有 者 (u) 读 取 + 执行 
写 入 + 执行 

读 取 + 写 入 + 执行 
读 取 

读 取 + 写 入 
FRA Cg) 读 取 + 执 行 
写 入 + 执行 

读 取 + 写 入 + 执行 
读 取 

读 取 + 写 入 
其 他 用 户 (0) 读 取 + 执 行 
写 入 + 执行 

读 取 + 写 入 + 执行 
读 取 

读 取 + 写 入 

所 有 用 户 (a) 读 取 + 执行 
写 入 + 执行 


E 


若 同时 设置 两 个 所 属 人 员 必 须 以 ii 


若 原来 所 有 者 权限 为 rwx， 要 将 写 入 权限 删除 ， 可 以 使 用 权限 表示 法 二 的 操作 ， 就 必须 要 


使 用 运算 符 “-” 删 除权 限 ， 如 【 u-w 
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us 上 


cronit XJ ES 


常见 于 Unix 和 类 Unix 的 操作 系统 之 中 ， 用 于 设置 计划 执行 命令 。 


crontab 命 令 


cron 服 务 


命令 


service crond start 


命令 说 明 


启动 服务 


关闭 服务 
重 载 服务 


service crond stop 


service crond restart 
service crond reload 


corn 参 数 设置 
命令 参数 参数 说 明 
crontab -u 设置 用 户 的 cron 服务 
crontab -1 列 出 cron 服务 的 详细 内 容 
crontab -e 编辑 cron 服务 


通常 不 设置 使 用 者 ， 默 认为 root。 


corn 时 间 设 置 


时 间 时 间 范 转 
分 钟 
小 时 


CentOS 6.x 系统 管理 实战 宝典 


CER) 
时 间 时 间 范 围 
日 期 1-31 
月 份 1-12 
星期 0-~6〈0 为 星期 天 ) 
,逗号 代表 多 个 时 间 段 ， 例 如 3 点 和 6 点 为 3.6 
* 星 号 代表 所 有 时 间 
- 减 号 代表 每 个 时 间 段 ， 例 如 1 点 到 3 点 为 1-3 
IRR 代表 每 隔 多 久 ， 如 果 每 两 个 小 时 要 执行 一 次 ， 则 为 */2 


输入 【crontab -e】， 例 如 : 

每 天 中 午 12 点 30 分 执行 /tmp/test.sh。 
30 12 * **  /tmp/test.sh 

每 个 月 1 号 1 点 至 3 点 30 分 执行 /tmp/test.sh。 
30 1-3 1**  /tmp/test.sh 

每 年 的 7 月 7 号 17 点 20 分 执行 /tmp/test.sh 
RL /tmp/test .sh 

每 个 星期 天 每 过 30 分 执行 /tmp/test.sh 


*/30* * * 0 /tmp/test.sh 
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附录 - 


YUM 在 线 更 新 命令 


更 新 /升级 update/upgrade 
命令 说 明 
升级 软件 ， 连 一 些 过 旧 即 将 淘汰 的 软件 也 会 一 
并 升级 


命令 说 明 


um search <keyword> 


清除 clean 
命令 
yum clean packages 清除 缓存 目录 C/var/cache/yum) 下 的 软件 
yum clean headers 清除 缓存 目录 (/var/cache/yum) 下 的 headers 
yum clean oldheaders 清除 缓存 目录 (/var/cache/yum) 下 旧 的 headers 
yum clean all (= yum clean packages: 清除 缓存 目录 (/var/cache/yum) 下 的 软件 及 旧 
yum clean oldheaders) 的 headers 


yum clean cache 


清除 缓存 目录 (/var/cache/yum) 下 的 cache 
清除 缓存 目录 (/var/cache/yum) 下 的 metadata 


im clean metadata 


CentOS 6.x 系统 管理 实战 宝典 


列表 list 


yum list 


命令 说 明 
列 出 所 有 可 安装 的 软件 


m list updates 


yum list installed 


列 出 所 有 可 更 新 的 软件 
列 出 所 有 已 安装 的 软件 


yum list extras 


列 出 所 有 已 安装 但 不 在 Yum Repository 内 的 软件 


yum list <package name> 


列 出 所 指定 的 软件 


yum groupinstall 


安装 软件 组 


更 新 软件 组 


yum groupupdate 


um groupremove 


删除 软件 组 
列 出 软件 组 信息 


信息 info 


m provides <package_name> 
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命令 说 明 
列 出 所 有 软件 的 信息 
列 出 所 有 可 更 新 的 软件 信息 


列 出 所 有 已 安装 但 不 在 Yum Repository 内 的 软 
件 信息 


列 出 软件 提供 哪些 文件 


